Я создаю приложение java + angularjs. Я выполнил тайм-аут сеанса на стороне клиента, который отправляет запрос серверу на истечение сеансового токена, если у пользователя нет активности в течение 30 минут.Должен ли быть реализован тайм-аут сервера?
Если тайм-аут также присутствует отдельно на стороне сервера, т. Е. Если соединение с сервером не было закрыто в течение 5 часов или одного дня, автоматически истекает токен сеанса на стороне сервера и регистрирует пользователя, отправив 401 ?
Еще один случай, который приходит на ум, заключается в том, что если я использую API отдельно с каким-либо другим приложением, должен ли мой API никогда не истекать тайм-аут? Или он должен иметь продолжительность сеанса, так как я управляю токеном сеанса на стороне сервера.
Серверная сторона - это тот, кто отвечает за тайм-ауты сеанса. В противном случае вредоносный (или поврежденный) клиент может вызвать проблемы на сервере (например, создать 100000 сеансов на сервере, а не отключать их). – Kayaman
Определенно. Тайм-аут на стороне сервера должен быть более агрессивным, чем таймаут на стороне клиента. Сервер - это один потребляющий несколько ресурсов за сеанс. Клиент имеет только один сеанс. – EJP