Invalider la session après l’expiration du jeton OAuth [nouveau dans Security Center 2.0]
Configurez la propriété sur la valeur sécurisée pour empêcher les glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled utilisateurs de continuer à utiliser une session via des cookies après l’expiration du jeton OAuth utilisé pour créer la session.
Lorsque la glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled propriété n’est pas définie sur la valeur sécurisée true, un utilisateur peut continuer à utiliser une session via des cookies après l’expiration du jeton OAuth utilisé pour créer la session. Cela augmente le risque de fuite de cookies et de détournement de la session par un utilisateur malveillant pour accéder à des ressources non autorisées. Assurez-vous que la propriété glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled glide estdéfinie sur true. Si l’enregistrement n’existe pas dans la table sys_properties, la valeur par défaut est faux.
En savoir plus
| Attribut | Description |
|---|---|
| Nom de la configuration | glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled |
| Type de configuration | Propriétés système (/sys_properties_list.do) |
| Type de données | booléen |
| Valeur recommandée | VRAI |
| Valeur par défaut | Pour les instances zboot, la propriété est vrai. Pour les instances de mise à jour, la propriété est false par défaut. |
| Catégorie | Gestion des sessions |
| Risque de sécurité |
|
| Dépendances et prérequis | Néant |
| Impact fonctionnel |
Vrai : l’authentification par cookie n’est respectée que jusqu’à l’expiration du jeton d’accès OAuth ; Après l’expiration, l’authentification n’est pas respectée. Faux : l’authentification par cookie est respectée même après l’expiration du jeton d’accès OAuth. |