मैं एक वेब ऐप लागू कर रहा हूं, जो सत्रों का उपयोग करता है। मैं अपने क्लाइंट/सर्वर के रूप में जीडब्ल्यूटी और ऐप इंजन का उपयोग कर रहा हूं, लेकिन मुझे नहीं लगता कि वे PHP और अपाचे आदि के साथ कुछ भी अलग कर रहे हैं।आप सत्र कुकीज़ को कब तक रखते हैं?
जब कोई उपयोगकर्ता मेरे वेब ऐप में लॉग इन करता है, मैं उनके लिए एक सत्र शुरू करने के लिए HttpSession का उपयोग कर रहा हूँ। मैं इस तरह सत्र id मिलती है:
// From my login servlet:
getThreadLocalRequest().getSession(false).getId();
मैं ग्राहक को वापस sessionId लौटने के लिए, और वे एक कुकी में संग्रहीत। ट्यूटोरियल मैं 'की समय सीमा समाप्त' करने के लिए इस कुकी समूह उपयोग कर रहा हूँ दो सप्ताह में:
Cookie.write("sid", theSessionId, 1000 * 60 * 60 * 24 * 14); // two weeks
यहाँ है जहाँ मैं उलझन में हूँ: कुकी दो सप्ताह में समाप्त हो रहा है, तो मेरे उपयोगकर्ता webapp खुशी का उपयोग कर के साथ जाना होगा, केवल एक दिन में मेरी साइट पर ब्राउज़ करें और लॉगिन स्क्रीन दिखाएं। मेरे विकल्प क्या हैं? क्या मैं इस कुकी के लिए अभी कोई समाप्ति समय निर्धारित नहीं कर सकता? इस तरह उपयोगकर्ता को स्पष्ट रूप से लॉग आउट करना होगा, अन्यथा वे वापस लॉग इन किए बिना हमेशा ऐप का उपयोग कर सकते हैं?
या ऐसा करने का कोई बेहतर तरीका है? मुझे ट्विटर जैसी साइटों को याद नहीं किया जा रहा है, जिन्होंने कभी मुझे फिर से लॉग इन करने के लिए कहा है। मुझे स्थायी रूप से लॉग इन होना प्रतीत होता है। क्या वे अभी कोई समाप्ति नहीं करते हैं?
वेबपैप किसी भी प्रकार के अत्यधिक संवेदनशील डेटा की रक्षा नहीं कर रहा है, इसलिए मुझे कोई कुकी छोड़ने पर कोई फर्क नहीं पड़ता है, लेकिन ऐसा लगता है कि एक बेहतर तरीका होना चाहिए?
http://code.google.com/p/google-web-toolkit-incubator/wiki/LoginSecurityFAQ
धन्यवाद
आमतौर पर, मैंने देखा है कि बहुत सारे वेब ऐप्स आपको "मुझे लॉग इन रखें" के लिए टिकने की अनुमति देते हैं, जो आपको अनिश्चित काल तक लॉग इन करता है, या यदि ब्राउज़र बंद होने के बाद आपको अनचाहे लॉग आउट किया गया है। – Corey