Perché la vita di un cookie è estesa dopo che metà del tempo è passato su un algoritmo di scadenza scorrevole?

Question

Perché la vita di un cookie è estesa dopo che metà del tempo è passato su un algoritmo di scadenza scorrevole?

#1 da (1 voti)

1

Sto codificando il mio algoritmo di scadenza a scorrimento per i token Bearer per simulare ciò che viene fatto da Microsoft sulla loro logica FormsAuthentication e leggendo la loro documentazione dicono (enfasi aggiunta)

When the SlidingExpiration is set to true, the time interval during which the authentication cookie is valid is reset to the expiration Timeout property value. This happens if the user browses after half of the timeout has expired

Qual è il ragionamento alla base di questo, invece di aumentare semplicemente la scadenza del cookie ogni volta che un utente naviga su una pagina?

authentication algorithm

posta g3rv4 05.02.2015 - 16:19

fonte

1 risposta

Leggi altre domande sui tag authentication algorithm

Quanto è sicuro il banking online con la smart card? Come potrebbe essere hackerato? Classificazione dei dati e prevenzione della fuga di dati

score 1 · Accepted Answer

Nessun motivo particolare, sembra un buon bilanciamento tra l'aggiornamento su ogni richiesta e non il ritardo, che scade prima che venga avviata la prossima azione dell'utente.

Prendi due scenari con una scadenza di 20 minuti.

Una visita utente di 9 minuti, * indica una visualizzazione di pagina:

012345678901234567890
*      * *

Questo ha il vantaggio di visite brevi che non devono emettere un biglietto aggiornato.

Una visita utente di 25 minuti:

01234567890123456789
*    *         *
               ^ as half the time has passed, a new ticket is issued to expire 20 minutes ahead:
               567890123456789012345
                                   *
                                   ^ new ticket....

Ciò consente all'utente di continuare a navigare senza dover effettuare di nuovo l'accesso per visite più lunghe.

Poiché il server non è a conoscenza degli utenti che navigano che non fanno richieste (pagine viste nel mio esempio), solo l'aggiornamento del tempo di scadenza dopo metà della durata sembra un modo ragionevole di mantenere attive le sessioni.