Вызывайте время ожидания каждые 6 часов

Question

Ко мне пришел маркетолог с просьбой тайм-аут сеанса каждые 6 часов, независимо от активности пользователя на сайте.

Я понимаю, что если пользователь покидает свой компьютер в течение определенного периода времени (установите прямо сейчас на 30 минут), сеанс должен прерваться, но вынудить пользователя войти в систему через определенный период времени просто недля меня это не имеет смысла

Его причина в том, что если человек заходит на сайт в течение 6 часов, это, скорее всего, бот.

Это правильный запрос?

1009 * Кен *

Answer 1

Это выглядит как очень произвольный и неэффективный способ решить, когда убивать сеансы. Единственный эффективный способ обнаружения бота, о котором я могу думать, - это отслеживание пути каждого сеанса, чтобы определить, является ли действие подозрительным, но даже это будет пустой тратой времени. Я бы сказал, что это неверный запрос или, по крайней мере, неверный подход.

OWASP становится отраслевым стандартом в области безопасности. Вот ссылка для управления сессиями для получения дополнительной информации: http://www.owasp.org/index.php/Session_Management

Answer 2

Чтобы закрыть сеанс независимо от активности пользователя, используйте SessionListener и запишите метку времени при создании сеанса в качестве атрибута сеанса.

Затем используйте (Запрос) Фильтр проверяет, что текущее время составляет менее 6 часов плюс начальная записанная метка времени.Если нет, session.invalidate().

Для принудительной перезагрузки страницы через 21600 секунд (не используйте это в одиночку, всегда закрывайте сеанс на сервере, если вы собираетесь это сделать, так как это выполняется вбраузер клиента):

<meta http-equiv="refresh" content="21600">

Это действительный запрос?

Конечно, маркетологи всегда выдают действительные запросы.

Привет.

Answer 3

На мой взгляд, лучшая практика - это то, что делает facebook.com, если вам кажется, что приложение подозрительно.Он покажет вам страницу с некоторыми людьми и попросит вас сказать, кто ваши друзья за короткий промежуток времени.Урок состоит в том, чтобы использовать некоторый контроль (связанный с деятельностью вашего сайта) для обнаружения бота.Логические решения всегда лучше, чем просто технические решения.Вот почему я не советовал что-то вроде использования CAPTCHA, генерирования случайного идентификатора и имени для элементов HTML каждый раз, когда создается страница и ...