在 .net 和 php 之间续订表单身份验证票证过期的好策略是什么？

Question

我正在创建一个应用程序，该应用程序将从 .net 获取存储表单身份验证票证的 cookie 的内容。 那部分已经完成了。 该票证中有一个过期时间，默认为 20 分钟。

因此，场景是，用户登录并在 .net 端进行验证。 然后它们被重定向到我的 PHP 应用程序。 我获取用户名、票证到期时间等。

当用户在我的应用程序上保持活跃状态​​时，续订票证的最佳方法是什么？ 这里有两种可能的方法，我相信还有更多：

1. 在距离到期还有 10 分钟时，如果用户仍然处于活动状态，则会联系 .net Web 服务向我发出一张具有新到期日期的新票证。 当页面空闲 20 分钟时，用户将被重定向到原始 .net 登录名。

2. PHP 使用 cookie 来处理过期问题。 当接近 10 分钟并且用户仍在浏览时，它会刷新。 但是，当页面空闲 20 分钟时，用户将被重定向回原来的 .net 登录。

其他建议？ 这两者的优点、缺点？ 我既追求速度又追求安全。

Answer 1

我将从您的问题假设您没有使用持久性 cookie，并且您正在使用滑动过期。 如果您打算尝试在 php 中复制相同的行为，那么您可能需要看看这个。

举个例子：如果登录页面是在下午 5:00 00:00:00 访问的，那么如果 timeout 属性为 10，slidingExpiration 属性为设置为 TRUE。 现在，如果在下午 5:05 00:00:00 再次浏览任何网页，Cookie 和票证超时期限将重置为下午 5:15 00:00:00。

基本上，只要用户访问您的 PHP 页面之一，您就会更新 Cookie 的过期时间。

另一种选择是在页面中嵌入 IFRAME 之类的内容，这会从 .net 站点中下载 .aspx。 这将具有“刷新”cookie 的效果。