#Token 安全策略

用户认证社区版+

#介绍

Token 安全策略是一种用于保护系统安全和体验的功能配置。它包括了三个主要配置项：“会话有效期”、“Token 有效周期” 和 “过期 Token 刷新时限” 。

#配置入口

配置入口在 插件设置 - 安全性 - Token 策略：

#会话有效期

定义：

会话有效期是指用户登录后，系统允许该用户保持会话活动的最长时间。

作用：

超过会话有效期后，用户再次访问系统时将会收到 401 错误响应，随后系统会将用户重定向到登录页面重新验证身份。 示例： 如果会话有效期被设置为 8 小时，用户从登录开始计时，在没有额外交互的情况下，8 小时后会话将失效。

建议设置：

• 短期操作场景： 推荐 1-2 小时，以提高安全性。
• 长时间工作场景： 可设置为 8 小时以适应业务需求。

#Token 有效期

定义：

Token有效期是指系统在用户的活跃会话中签发的每个 Token 的生命周期。

作用：

当 Token 到期时，系统将自动签发新的 Token 以维持会话活动。 每个已过期的 Token 仅允许刷新一次。

建议设置：

出于安全性考虑，推荐设置在 15 到 30 分钟之间。 根据场景需要可调整。例如： 高安全场景： Token 有效期可缩短至 10 分钟或更低。 低风险场景： Token 有效期可适当延长至 1 小时。

#过期 Token 刷新时限

定义：

过期 Token 刷新时限是指 Token 过期后，允许用户通过刷新操作重新获取新 Token 的最长时间窗口。

特点：

如果超过刷新时限，用户必须重新登录才能获取新的 Token 。 刷新操作不会延长会话有效期，只会重新生成 Token 。

建议设置：

出于安全性考虑，推荐设置在 5 到 10 分钟之间。