Las sesiones caducan de manera diferente en diferentes lugares de la web:
- StackOverflow: nunca caduca
- Twitter: nunca caduca
- Facebook: nunca caduca
- Raya: caduca después de unos 30 minutos o una hora más o menos
- Algunos sitios web de bancos: expiran luego de 15 minutos de inactividad
- Otros sitios web caducan después de 5 minutos, sin importar qué
Las prácticas más recientes indican mantener las solicitudes sin sesión y usar un JWT que se actualice automáticamente cada 15 minutos o en una nueva solicitud, utilizando un token de actualización. La razón de esto es que puedes poner en una lista negra un token rápidamente si está en las manos equivocadas, y no se podrá utilizar durante más de 15 minutos, manteniendo la duración mínima del ataque.
El problema es que no quieres cerrar la sesión de un usuario cada 15 minutos, es una mala experiencia de usuario. StackOverflow y Twitter son excelentes porque siempre estás conectado.
La parte confusa es por qué StackOverflow / Twitter no hace esto. Parece un riesgo de seguridad si sigues la ruta de caducidad de 15 minutos sin sesión, o quizás estén haciendo algo para mitigar el riesgo.