Что Ваш, “помнят меня” время жизни cookie?

Я бы посоветовал сделать это как комбинацию cookie с относительно коротким сроком действия, скользящего срока действия и cookie с длительным сроком действия.

Первая часть - это стандартный файл cookie билета проверки подлинности с истечением срока действия на неделю / месяц, который вы обновляете при каждом запросе, через определенный интервал времени или по любой другой схеме скользящего истечения срока действия, которую вы хотите использовать.

Вторая часть заключается в том, что вы запоминаете личность пользователя в куки-файле, срок действия которого истекает через полгода / год. Это не билет аутентификации, а просто напоминание об идентичности, поэтому, если пользователь возвращает после , его сеанс истек, его приветствуют, и вы можете показать некоторую неконфиденциальную личную информацию, например количество электронных писем. в почтовом ящике или что-то в этом роде, но для фактического доступа к любой конфиденциальной информации им необходимо пройти аутентификацию.

Это даст вашим постоянным пользователям (посещающим каждый день или неделю) непрерывный бесконечный сеанс, сохраняя при этом билеты аутентификации с относительно короткими временными рамками. В то же время для людей, которые возвращаются более чем через месяц, вы все равно можете предоставить им персонализированный опыт, но их учетная запись в безопасности. Я не думаю, что у кого-то действительно возникнет проблема, если вы попросите его пройти аутентификацию для доступа к определенным частям своей учетной записи после месяца отсутствия, даже если они установили флажки запомнить меня / запомнить мой пароль.