Интересный вопрос по безопасности и удобству использования сайта, системы, веб приложения.
Нравится ли пользователю, когда его выкидывает или требует заново вводить логин и пароль? Нет.
Более того это не нормально. Лично мне не понравится, что я каждый день буду должен вводить пароль, например на том же ютубе. Не надо так - пользователи, скорее всего, уйдут с сайта.
А если это личный кабинет банка? Я вошел и...забыл выйти. А войти в веб интерфейс я могу и на терминале банка.
Снял деньги и ушел, забыв выйти. У банкоматов, конечно есть доп мера безопасности - приложить карту для совершения операции, пин...но не суть.
Вот для этого и есть время жизни сессии - принудительно разлогинить пользователя.
Лично я не использую встроенный механизм сессий, а использую куки (срок жизни год).
Чтобы пользователь сам решал, когда он хочет разлогиниться. Чтобы не возмущался, а что опять разлогинило?
У меня не банковская система, и похитить куки Васи, Пети - никому не нужно и не принесет особого вреда.
А если даже и похитят - то он сам виноват.
Виноват ли продавец замка, что у клиента похитили ключи? Нет.
А похищают что угодно, номера карт, пин...тут уже человеческий фактор.
Если я делаю систему, где есть финансы, пополнение счета, то тогда уже можно использовать сессии, устанавливать срок их жизни.
И вообще есть телефон. Вход по смс. Если пользователи доверяют вам и не боятся засветить свой номер.
