Как автоматически продлевать сессию клиента?

Question

[Сергей Сунцев]

Есть небольшой сервис.
Бэк на node.js (express) + redis + python, для авторизации и регистрации использую - рasport.js
Фронт - react.
Всю информацию о сессиях пользователя (sessionID, expireData) держу в редисе.
Вопрос в том, как мне поддерживать сессию пользователя, без требования перезахода в систему, при учете на то, что токены живут одну неделю?
Как в данном случае лучше реализовывать систему авторизации, что бы при этом у пользователя не было неудобств в виде разлогина, но при этом было секьюрно?
Интересно также как это реализовано в вконтакте, или learn.javascript.ru на этих сайтах разлогина не происходит.

Answer 1

[Сергей Тихонов]

При каждом заходе просто обновлять expire сессии, либо expireData каждый раз пересчитывать, либо средствами Redis обновлять, если вы их используете (см. EXPIRE)

Comments

[Сергей Сунцев]

А если пользователь долго не заходит?
И на сколько это безопасно?

[Сергей Тихонов]

Если пользователь не заходит и вы по-прежнему хотите ему продлевать сессию, то просто поставьте ей expire на 2100 год.
Если смена пароля удаляет сессию, то это достаточно безопасно (хотя кто я такой чтобы судить об этом)

[Сергей Сунцев]

Сергей Тихонов, А в чем тогда смысл этого expire, если более менее серьезые сайты, типа гугла и фейсбука не глушат сессию?

[Сергей Тихонов]

Например в том, чтобы не хранить данные клиентов, которые больше никогда не зайдут.