来自 OWASP：

为了最小化攻击者可以对活动会话发起攻击并劫持它们的时间段，必须为每个会话设置到期超时，从而确定会话保持活动的时间量。Web 应用程序的会话过期时间不足会增加其他基于会话的攻击的暴露，因为攻击者能够重用有效的会话 ID 并劫持相关的会话，它必须仍然处于活动状态。

这完全取决于组织的风险偏好。每个组织都将进行风险评估，并决定他们要保护的数据类型以及他们的客户认为在可用性方面可以接受的数据。例如，Gmail 可能不会使他们的会话过期，因为人们认为用户不必每次都登录所带来的收益比他们在 Gmail 帐户因未过期的 cookie 被黑客入侵时所带来的声誉损失要多。当然，电子邮件收件箱的内容可能是敏感的，也可能不是，这是值得商榷的。

另一方面，银行申请在 99% 的案例中都包含资金。此外，“银行 X 客户被黑客入侵”的声誉流失比 Gmail 的例子更令人不安。客户会开始担心给银行打电话，他们可能会失去认为他们的系统不安全的客户等等......

最后，它只是查看您的威胁和漏洞，并评估实施缓解控制的成本和收益（在这种情况下是会话的到期日期）。