Tengo dos cuentas en línea de diferentes bancos, un banco expira mi sesión más rápido que el otro, es bastante molesto.
Me preguntaba cuánto tiempo (o corta) debería ser una sesión para que se considere lo suficientemente segura pero no molesta.
Respuesta genérica: idealmente , la sesión debe ser lo más corta posible, el límite es, de hecho, la molestia del usuario.
Usted realiza sesiones porque el usuario no aceptaría volver a ingresar su contraseña para cada solicitud de página. Una sesión es un debilitamiento deliberado y controlado de su modelo de seguridad; usted lo acepta porque de lo contrario el sitio sería inutilizable. Sin embargo, su interés en el servidor es mantener las sesiones cortas.
Ahora, por supuesto, esto es una compensación. La molestia del usuario no es binaria. Un banco balanceará su propio sentimiento de seguridad contra su percepción de la molestia del usuario (y su importancia, el banco sabe que puede abusar completamente del usuario, ya que los propietarios de cuentas bancarias son algo "cautivos"). Al parecer, sus dos bancos eligieron compromisos distintos.
Lo siguiente se aplica a sitios confidenciales (bancos, servicios gubernamentales, etc.)
Lea otras preguntas en las etiquetas web-browser session-management