Che cos'è un limite di timeout della sessione risonabile e come è possibile determinarlo?
Che cos'è un limite di timeout della sessione risonabile e come è possibile determinarlo?
Penso che sia molto correlato all'attività che viene eseguita nella sessione.
Come determinarlo: verificare a quale sessione / programma / software si sarebbe abituato. Misura quanto tempo ci vuole da un utente normale per eseguire tale attività. Più misure hai, meglio è. Calcola il tempo medio e la deviazione standard. Imposta il limite di timeout come media + 2 std dev e penso che quasi tutti gli utenti saranno in grado di utilizzare la sessione prima che si verifichi un timeout.
Se stai lavorando su uno scenario Web, probabilmente l'utente finale vorrebbe vedere un messaggio evidenziato (usando CSS e / o JavaScript, JQuery) che indica che la sessione sta per scadere. Alcuni framework forniscono un timeout di sessione predefinito, puoi aumentarlo? Si, puoi. In questo modo puoi conoscere il tempo inattivo e reindirizzare l'utente per accedere di nuovo una volta scaduta la sessione.
Requisiti aziendali / di sistema
Il requisito aziendale implicherà le decisioni sui timeout. Può essere un giudizio che tiene conto dell'importanza delle transazioni effettuate sul sito (per il proprietario dell'app e per l'utente), della vulnerabilità dell'applicazione Web e delle varie transazioni che possono essere eseguite su di esso, degli endpoint che accederà ad esso e probabilmente al rapporto tra proprietari e utenti del servizio. Spesso è necessario prendere in considerazione le questioni legali. Spesso le decisioni vengono informate da ciò che è accaduto in passato per l'applicazione e applicazioni simili nelle menti delle parti coinvolte.
Quindi, in breve, è una decisione complessa.
Ricorda che alcune applicazioni potrebbero avere un "timeout" a lungo termine usando i cookie per rimanere loggati.
Le applicazioni Web AJAX / Javascript hanno implicazioni tecniche.
Leggi altre domande sui tag web-application session-management