Invalider la session après l’expiration du jeton OAuth [nouveau dans Centre de sécurité 2.0]

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • Utilisez une propriété système pour la valeur sécurisée afin d’empêcher les utilisateurs de continuer à utiliser une session via des cookies après l’expiration du jeton OAuth utilisé pour créer la session.

    Lorsqu’un jeton d’accès OAuth est émis, la réponse inclut un cookie. Les utilisateurs peuvent utiliser ce cookie pour continuer à utiliser une session même après l’expiration du jeton OAuth utilisé pour créer cette session. Utilisez la glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled propriété système pour éviter cela.

    Assurez-vous que la propriété système glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled existe dans la table Propriétés système [sys_properties] et qu’elle est définie sur la valeur true.

    En savoir plus

    Attribut Description
    Nom de la configuration glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled
    Type de configuration Propriétés système (/sys_properties_list.do)
    Type de données Booléen
    Valeur recommandée VRAI
    Valeur par défaut vrai
    Valeur de secours Faux
    Catégorie Gestion des sessions
    Risque de sécurité
    • Score de gravité : 6,8
    • Score CVSS : moyen
    • Détails du risque de sécurité : si un jeton OAuth est divulgué ou compromis, l’absence d’expiration permettrait à un attaquant d’utiliser et de prolonger la session via le cookie créé. Les utilisateurs malveillants peuvent utiliser les sessions pour accéder à des ressources non autorisées et effectuer des actions non autorisées. Définissez cette propriété sur la valeur sécurisée pour éliminer ce mécanisme d’extension de session masqué et réduire le risque de relecture en imposant l’expiration du jeton.
    Dépendances et prérequis Aucun
    Impact fonctionnel
    Impact si la valeur est définie sur vrai :
    • Les sessions se terminent immédiatement à l’expiration du jeton d’accès.
    • Les cookies n’actualisent plus la validité de la session.
    • Les clients doivent utiliser des jetons d’actualisation ou s’authentifier à nouveau pour obtenir un nouveau jeton d’accès.
    Bris potentiel :
    • Les clients hérités ou les intégrations personnalisées reposant sur l’extension de session basée sur les cookies échouent après l’expiration du jeton.
    • Les tâches de longue durée sans logique de renouvellement du jeton peuvent rencontrer des erreurs 401.
    Ce qui continue de fonctionner :
    • Flux OAuth standard avec jetons d’actualisation.
    • Intégrations correctement conçues qui renouvellent les jetons de manière proactive.