Моя спецификация говорит 30 дней. Я собираюсь привести доводы вполне в пользу более длинного TTL, чего-то как 90 - 120 дней. Что Вы думаете?
Это для стандартного веб-сайта, не приложения интранет.
Я бы посоветовал сделать это как комбинацию cookie с относительно коротким сроком действия, скользящего срока действия и cookie с длительным сроком действия.
Первая часть - это стандартный файл cookie билета проверки подлинности с истечением срока действия на неделю / месяц, который вы обновляете при каждом запросе, через определенный интервал времени или по любой другой схеме скользящего истечения срока действия, которую вы хотите использовать.
Вторая часть заключается в том, что вы запоминаете личность пользователя в куки-файле, срок действия которого истекает через полгода / год. Это не билет аутентификации, а просто напоминание об идентичности, поэтому, если пользователь возвращает после , его сеанс истек, его приветствуют, и вы можете показать некоторую неконфиденциальную личную информацию, например количество электронных писем. в почтовом ящике или что-то в этом роде, но для фактического доступа к любой конфиденциальной информации им необходимо пройти аутентификацию.
Это даст вашим постоянным пользователям (посещающим каждый день или неделю) непрерывный бесконечный сеанс, сохраняя при этом билеты аутентификации с относительно короткими временными рамками. В то же время для людей, которые возвращаются более чем через месяц, вы все равно можете предоставить им персонализированный опыт, но их учетная запись в безопасности. Я не думаю, что у кого-то действительно возникнет проблема, если вы попросите его пройти аутентификацию для доступа к определенным частям своей учетной записи после месяца отсутствия, даже если они установили флажки запомнить меня / запомнить мой пароль.
Это зависит от того, кто использует систему. Если это сотрудник компании, который регулярно использует назначенный ему компьютер, и один из сайтов интрасети устанавливает cookie-файл «запомнить меня», он может длиться больше года.