Invalider la session après l’expiration du jeton OAuth [nouveau dans Centre de sécurité 2.0]
Configurez la glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled propriété sur la valeur sécurisée pour empêcher les utilisateurs de continuer à utiliser une session via des cookies après l’expiration du jeton OAuth utilisé pour créer la session.
Lorsque la glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled propriété n’est pas définie sur la valeur sécurisée true, un utilisateur peut continuer à utiliser une session via des cookies après l’expiration du jeton OAuth utilisé pour créer la session. Cela augmente le risque de fuite de cookies et de détournement de la session par un utilisateur malveillant pour accéder à des ressources non autorisées. Assurez-vous que la propriété glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled g lide est définie sur true. Si l’enregistrement n’existe pas dans la table sys_properties, la valeur par défaut est faux.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la configuration | glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Type de données | booléen |
| Valeur recommandée | VRAI |
| Valeur par défaut | Pour les instances zboot, la propriété est vrai. Pour les instances de mise à jour, la propriété est false par défaut. |
| Catégorie | Gestion des sessions |
| Risque de sécurité |
|
| Dépendances et prérequis | Aucune |
| Impact fonctionnel |
Vrai : l’authentification par cookie n’est respectée que jusqu’à l’expiration du jeton d’accès OAuth ; Après l’expiration, l’authentification n’est pas respectée. Faux : l’authentification par cookie est respectée même après l’expiration du jeton d’accès OAuth. |