OAuth 토큰 만료 후 세션 무효화[Security Center 2.0의 새로운 기능]

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 1분

    • glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled 세션을 생성하는 데 사용된 OAuth 토큰이 만료된 후에도 사용자가 쿠키를 통해 세션을 계속 사용하지 못하도록 속성을 안전한 값으로 구성합니다.

    glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled 속성이 보안 값인 예로 설정되지 않은 경우 사용자는 세션을 생성하는 데 사용된 OAuth 토큰이 만료된 후에도 쿠키를 통해 세션을 계속 사용할 수 있습니다. 이렇게 하면 쿠키가 유출되고 악의적인 사용자가 세션을 하이재킹하여 승인되지 않은 리소스에 액세스할 위험이 높아집니다. glide property glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled가 true로 설정되어 있는지 확인하십시오. sys_properties 테이블에 기록이 없는 경우 기본값은 false입니다.

    추가 정보

    속성 설명
    구성 이름 glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled
    구성 유형 시스템 속성(/sys_properties_list.do)
    데이터 유형 부울
    권장 값
    기본값 zboot 인스턴스의 경우 이 속성은 true입니다. 업데이트 인스턴스의 경우 이 속성은 기본적으로 false입니다.
    범주 세션 관리
    보안 위험
    • 심각도 점수: 5.4
    • CVSS 점수: 중간
    • 보안 위험 상세 정보: 이 속성을 보안 값 예로 설정하지 않으면 세션을 생성하는 데 사용된 OAuth 토큰이 만료된 후에도 사용자가 세션을 계속 사용할 수 있으므로 악의적인 사용자가 세션을 하이재킹할 가능성이 높아집니다.
    의존성 및 필수 구성요소 안 함
    기능적 영향

    True: OAuth 액세스 토큰이 만료될 때까지만 쿠키 인증이 적용됩니다. 만료 후에는 인증이 적용되지 않습니다.

    False: OAuth 액세스 토큰이 만료된 후에도 쿠키 인증이 적용됩니다.