通用答案： 理想情况下，会话应该尽可能短，实际上，限制是用户的烦恼。

您进行会话是因为用户不会接受为每个页面请求重新输入他的密码。会话是对您的安全模型的蓄意、可控的弱化；您接受它，因为否则该网站将无法使用。但是，您对服务器的兴趣是保持会话简短。

现在，当然，这是一个权衡。用户的烦恼不是二元的。银行将平衡他们自己的安全感与他们对用户烦恼的看法（及其重要性——银行知道它可以彻底虐待用户，因为银行账户所有者在某种程度上是“俘虏”）。显然，你们两家银行选择了不同的妥协方案。

以下适用于敏感网站（银行、政府服务等）

1. 走出你的房间到走廊。
2. 抓住任何人，让他们坐在电脑前。
3. 要求他们使用该服务来执行一些操作。
4. 找出花了多长时间。
5. 将时间乘以 3。这是您的会话需要持续的最短时间。