取消激活數據庫中未使用的會話ID？

Question

我有一個擁有表單身份驗證的網站：

1）用戶登錄並選擇是否讓他登錄。

2）服務器生成令牌，將其保存到數據庫並向瀏覽器發送令牌cookie。

注意，當用戶選擇不保留登錄，當他關閉瀏覽器，令牌cookie將到期，如果用戶選擇保持登錄狀態，他在登錄後，令牌cookie將到期的一年。

3）當用戶註銷時，服務器將停用保存在數據庫中的令牌並刪除瀏覽器中的令牌cookie。

問題是，如果用戶選擇不保持登錄狀態，如果他關閉瀏覽器，令牌cookie將過期，但保存在數據庫中的令牌不會被停用 - 服務器將不知道用戶是否關閉了他瀏覽器。

我該如何取消未使用的令牌在我的數據庫？

Answer 1

爲了記住登錄細節，在服務器端持續整個會話並不常見。我建議遵循facebook/google的設計：如果用戶希望瀏覽器「記住他」，則生成一些隨機安全的「訪問令牌」cookie，該cookie存儲在用戶表中作爲該用戶的最後一個有效訪問令牌。然後，當瀏覽器再次訪問網站時，它會發送該cookie並且服務器可以檢查它是否與任何現有（有效）訪問令牌相匹配，從而登錄該用戶。