非常感谢您对以下情况的帮助:
Amazon.com是如何管理不同级别的身份验证的,一次是当您访问网站时,另一次是作为安全功能前往“您的账户”->“登录和安全”时?
用户登录(即认证)到网站并且7天内没有任何活动。用户重新访问网站时,用户被要求再次进行身份验证。这可以使用cookie实现,但由于安全问题,它是使用服务器端的会话令牌来实现的。在7天后,当浏览器提供过期令牌时,用户再次被要求重新进行身份验证。
现在,新要求是,如果用户登录并访问“您的账户”页面,则:
1.如果用户仍然停留在“您的账户”页面,并且10分钟内没有任何活动,则应再次要求用户进行身份验证。
或者
2.如果用户退出“您的账户”页面并在10分钟后重新访问“您的账户”页面,则应再次要求用户进行身份验证。
因此,使用令牌,我只能管理一个不活动的时间段,如何处理多个状态,即状态(7天)和部分状态(10分钟)。
如何处理这种情况的行业惯例是什么?不想使用cookie作为安全问题。并且由于正在使用SSO提供程序进行身份验证,因此使用数据库将是最后的选择。
--大卫。
Amazon.com是如何管理不同级别的身份验证的,一次是当您访问网站时,另一次是作为安全功能前往“您的账户”->“登录和安全”时?
用户登录(即认证)到网站并且7天内没有任何活动。用户重新访问网站时,用户被要求再次进行身份验证。这可以使用cookie实现,但由于安全问题,它是使用服务器端的会话令牌来实现的。在7天后,当浏览器提供过期令牌时,用户再次被要求重新进行身份验证。
现在,新要求是,如果用户登录并访问“您的账户”页面,则:
1.如果用户仍然停留在“您的账户”页面,并且10分钟内没有任何活动,则应再次要求用户进行身份验证。
或者
2.如果用户退出“您的账户”页面并在10分钟后重新访问“您的账户”页面,则应再次要求用户进行身份验证。
因此,使用令牌,我只能管理一个不活动的时间段,如何处理多个状态,即状态(7天)和部分状态(10分钟)。
如何处理这种情况的行业惯例是什么?不想使用cookie作为安全问题。并且由于正在使用SSO提供程序进行身份验证,因此使用数据库将是最后的选择。
--大卫。