1
我正在構建一箇中央身份驗證服務(auth.xyz.com),類似於Google在accounts.google.com上的身份驗證服務。我有多個應用程序,每個應用程序運行在不同的子域(app1.xyz.com,app2.xyz.com)上,這將與我的身份驗證服務集成。跨子域的基於Cookie的身份驗證
我目前正在關注基於cookie的系統,寫在「.xyz.com」域中,以便它可以被所有子域讀取。
我的問題是,我不知道如何處理cookie過期。如果用戶在時間t登錄,並在app1.xyz.com上花費45分鐘,然後轉到app2.xyz.com,我不希望他再次登錄。另外,如果用戶登錄到app1.xyz.com,然後閒置45分鐘,然後點擊app2.xyz.com,我希望他必須重新登錄。我怎樣才能做到這一點?
我不想在app1或app2上獲得的每個請求上觸摸auth服務器。