Quando si crea un Security Token Service (STS) per un modello di sicurezza basato sulle attestazioni, sembra appropriato che i token siano generati in modo tale che scadano dopo una certa durata, come suggerito objectsharp.com/cs/blogs/steve/archive/2010/10/18/what-makes-claims-based-authentication-secure.aspx">here. Intorno a questo concetto, ho alcune domande specifiche, ma sto cercando un riscontro sulle migliori pratiche in questo settore.
- Quali sono i valori consigliati per la durata del timeout e / o cosa dovrebbe essere preso in considerazione quando si determina questo?
- Se un utente è attivo più a lungo del periodo di scadenza tipico, come dovrebbe essere gestito in modo tale che l'utente non sia tenuto a ripetere l'autenticazione nel bel mezzo della sua sessione?
- Esiste un modo elegante per progettare un servizio per eseguire azioni batch "per conto di" un altro utente utilizzando il token? Ad esempio, l'utilizzo del token in un secondo momento potrebbe aver causato la sua scadenza.