Debo ejecutar el temporizador de tiempo de espera de inactividad de la sesión
- Desde el inicio de la primera solicitud hasta el inicio de la siguiente solicitud, o
- ¿Desde el final de la primera solicitud hasta el inicio de la próxima solicitud?
Un poco de contexto: tengo un tiempo de espera de inactividad de 10 minutos en una aplicación de API web. Algunas de las solicitudes llevan mucho tiempo (por ejemplo, alrededor de 8 minutos). Si lo hago 1., los usuarios pierden efectivamente 8 minutos de su cuota inactiva en estas solicitudes. Si lo hago 2., no me sienta bien con la definición de inactivo: el usuario ha estado (forzado a estar) inactivo desde que inició la primera solicitud.
Me inclino a 2. debido a la UX, pero aparte de la definición, ¿hay alguna manera 2. podría ser mal utilizada?
Creo que el tiempo de espera de inactividad se ha implementado por la mayoría de los motivos como en enlace y estoy bien para cualquier Las respuestas se centran en estos requisitos (desafortunadamente, no puedo encontrar ningún requisito formal que respalde mi creencia: el sistema actual se basa en un sistema muy antiguo, cuyos requisitos se pierden en los anales del tiempo. Por la misma razón, yo No estoy seguro de por qué 10 minutos y no 9 u 11). Dicho esto, tengo curiosidad por saber si hay algún tipo de lagunas de seguridad que puedan utilizar 2. y no 1.
Nota: también tengo un tiempo de espera absoluto desde el inicio de la sesión