Devo eseguire il timer di timeout di inattività della sessione
- Dal start della prima richiesta all'inizio della prossima richiesta o
- Dalla fine della prima richiesta all'inizio della prossima richiesta?
Un po 'di contesto - Ho un timeout di inattività di 10 minuti su un'applicazione Web API. Alcune richieste richiedono molto tempo (diciamo circa 8 minuti). Se faccio 1., gli utenti perdono effettivamente 8 minuti della loro quota inattiva su queste richieste. Se faccio 2., non si adatta bene alla definizione di idle: l'utente è stato (forzato ad essere) inattivo dall'inizio della prima richiesta.
Sono incline a 2. a causa di UX, ma a parte le preoccupazioni sulla definizione, c'è un modo 2. Potrebbe essere usato impropriamente?
Credo che il timeout di inattività sia presente per la maggior parte dei motivi, come nel link e sono ok per qualsiasi risposte per concentrarmi su questi requisiti (sfortunatamente, non riesco a trovare requisiti formali a supporto del mio credo - il sistema attuale si basa su un sistema molto vecchio, le cui esigenze sono purtroppo perse negli annali del tempo. Non sono sicuro del motivo per cui 10 minuti e non 9 o 11). Detto questo, sono curioso di sapere se esistono scappatoie di sicurezza che possono utilizzare 2. e non 1.
Nota: ho anche un timeout assoluto in esecuzione dall'inizio della sessione