• Русский

      • Политика безопасности токенов

      АутентификацияCommunity Edition+

      Введение

      Политика безопасности токенов — это функциональная конфигурация, предназначенная для защиты системы и улучшения пользовательского опыта. Она включает три основных параметра: «Срок действия сессии», «Срок действия токена» и «Лимит времени обновления истекшего токена».

      Путь к настройке

      Путь к настройке: Параметры плагина — Безопасность — Политика токенов:

      20250105111821-2025-01-05-11-18-24

      Срок действия сессии

      Определение:

      Срок действия сессии — это максимальная длительность, в течение которой система позволяет пользователю поддерживать активную сессию после входа.

      Назначение:

      По истечении срока действия сессии при последующих попытках доступа к системе пользователь получит ответ об ошибке 401, после чего будет перенаправлен на страницу входа для повторной аутентификации. Пример: если срок действия сессии установлен на 8 часов, сессия истечет через 8 часов после входа пользователя (при условии отсутствия дополнительных взаимодействий).

      Рекомендуемые настройки:

      • Сценарии краткосрочной работы: рекомендуется 1–2 часа для повышения безопасности.
      • Сценарии длительной работы: можно установить 8 часов, чтобы соответствовать требованиям бизнеса.

      Срок действия токена

      Определение:

      Срок действия токена — это период действия каждого токена, выдаваемого системой в рамках активной сессии пользователя.

      Назначение:

      Когда срок действия токена истекает, система автоматически выпускает новый токен, чтобы поддерживать активность сессии. Каждый истекший токен можно обновить только один раз.

      Рекомендуемые настройки:

      В целях безопасности рекомендуется устанавливать значение в пределах 15–30 минут. Значение можно корректировать в зависимости от сценария. Например:

      • в сценариях с повышенными требованиями к безопасности срок действия токена можно сократить до 10 минут или меньше;
      • в сценариях с низким риском срок действия токена можно увеличить до 1 часа.

      Лимит времени обновления истекшего токена

      Определение:

      Лимит времени обновления истекшего токена — это максимальное временное окно, в течение которого пользователю разрешено получить новый токен через операцию обновления после истечения срока действия токена.

      Особенности:

      Если лимит времени обновления истек, пользователю нужно снова войти, чтобы получить новый токен. Операция обновления не продлевает срок действия сессии — она только заново генерирует токен.

      Рекомендуемые настройки:

      В целях безопасности рекомендуется устанавливать значение в пределах 5–10 минут.