Wyobraźmy sobie aplikację webową dwuwartswową (tj Vue lub Angular na froncie - Java/C# na serwerze).
Apka ma nieco podniesione wymagania bezpieczeństwa, może nie tajemnice państwowe, ale informacje firmowe, niekiedy poufne.
Userami są pracownicy (pracujący na zmiany, o kiepskich nawykach komputerowych itd), zamyka się rzecz w firmie (sieci lokalnej - czyli intranet).
W innym wątku z Wami dyskutowałem, czy by login w oparciu o sms wyeliminował problem powszechnej znajomości haseł przez użytkowników
Teraz pytanie o długość sesji. Pasował by niedługi czas (10-15min) , przy braku aktywności logout i zabicie sesji.
Rodzi się sub-pytanie: co to jest aktywność, czy klikanie w Angularze, które nie skutkuje operacją serwerową - czy operacja serwer-side (jakiś request).
Ale jednocześnie wyjątek od zasad: jeśli jest otwarty jakiś grid, to co czas jakiś (kilku minut) sprawdza, czy dane się zmieniły - żeby takie akcje nie spełniały w/w definicji aktywności.
Jak się to robi, jak myśleć o zagadnieniu?
Aha, czy współczesna przeglądarka+frameworki może wykorzystać wiedzę o włączeniu screen-savera i posłusznie donieść o tym na komisa... na serwer?