세션 시간 초과 또는 양식 인증 시간 초과가 사용자를 로그 오프해야합니까?

Question

사용자를 로그 아웃해야하는 이유가 약간 혼란 스럽습니다.

현재 세션 시간 초과가 20 분으로 설정되어 있고 세션이 만료되면 사용자는 로그 아웃해야한다고 생각했습니다.

session_end에서이를 수행 할 코드를 추가 할 수 있습니다.

web.config에서 양식 인증 시간 초과가 발생했습니다. 현재 48 시간으로 설정되어 있습니다.

인증 시간 초과를 20 분으로 변경했으며 그 일을합니다.

세션 시간 초과로 인해 사용자가 로그 아웃되거나 양식 인증 시간 초과로 종료해야합니까?

감사합니다

편집 : 나는 순간에 직면하고있어 무엇

, 세션 시간이 초과 되었기 때문에 괜찮 변수를 0으로 설정 얻을 세션이있다. 하지만 나는 사용자가 로그 아웃 될 것이라고 생각했을 것이다.

인증 데이터는 항상 쿠키에 저장되며 쿠키는 양식 인증 시간 초과에 한 번만 지워지겠습니까?

따라서 내가 직면 한 것은 예상되는 행동입니다. 사용자 손실 세션이지만 인증 정보가 쿠키에 저장되어 있기 때문에 그는 여전히 로그인되어 있습니다.

그런 경우 세션 인증 시간 초과와 정확히 일치하도록 세션 시간 초과를 설정할 수 있습니다. 사용자가 웹 사이트에서 아무 작업을하지 않으면 양식 인증 시간 초과가 새로 고쳐집니다.

다른 대안은 사용자를 로그 아웃 할 sesseion_end 메소드에 코드를 추가하는 것입니다.

편집 2 :

인증 타임 아웃은 아웃 세션 시간과 같은 시간에 새로 도착합니까?

편집 3 :이 "슬라이딩 만료는 단일 세션 동안 각 요청에 따라 만료 활성 인증 쿠키의 시간을 다시 설정합니다."를 통해

는 온 나는 이것이 내가 성취하려고 노력하는 것이라고 믿는다. 세션과 인증 시간 초과가 인증 시간 초과와 동일하면 세션 시간 초과가 재설정 될 때마다 재설정되며 이는 작업을 수행해야합니다. 모든 의견을 환영합니다 ...

Answer 1

웹 응용 프로그램의 성격에 달려 있다고 생각합니다. 대부분 웹 사이트 (예 : StackOverflow)는 세션이 끝나면 사용자를 로그 아웃하지 않습니다. 그러나 보안이 중요한 웹 사이트 (예 : 은행)에서는 사용자의 로그인 상태가 세션에 따라 달라지며 대개 몇 분으로 줄어 듭니다.

웹 양식은 로그인 한 사용자에 따라 다르며, 세션에 전적으로 의존하는 경우 서버를 핑 (ping)하여 세션을 유지해야합니다.

양식이 보안/개인 정보를 요구하지 않는 한, 나는 그 완료에 대한 짧은 시간 제한을 두지 않을 것입니다. 내가 절반을 완성한 것은 처음이 아니 었습니다. 잠자리에 들었고 아침에 완성했습니다.

Answer 2

양식 인증은 쿠키를 사용하여 사용자를 추적하도록 설정할 수 있습니다. 그것은 아마도 일어나고있는 일입니다.