OAuth 토큰 만료 후 세션 무효화 [보안 센터 2.0의 새로운 기능]

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 1분

    • 보안 값에 대한 시스템 속성을 사용하여 세션을 생성하는 데 사용된 OAuth 토큰이 만료된 후 사용자가 쿠키를 통해 세션을 계속 사용하지 못하도록 합니다.

    OAuth 액세스 토큰이 발급되면 응답에는 쿠키가 포함됩니다. 사용자는 이 쿠키를 사용하여 해당 세션을 생성하는 데 사용된 OAuth 토큰이 만료된 후에도 세션을 계속 사용할 수 있습니다. 시스템 속성을 사용하여 glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled 이를 방지하십시오.

    glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled 시스템 속성이 시스템 속성 [sys_properties] 테이블에 있고 true 값으로 설정되어 있는지 확인합니다.

    추가 정보

    속성 설명
    구성 이름 glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled
    구성 유형 시스템 속성(/sys_properties_list.do)
    데이터 유형 부울
    권장 값
    기본값
    폴백 값 아니오
    범주 세션 관리
    보안 위험
    • 심각도 점수: 6.8
    • CVSS 점수: 중간
    • 보안 위험 세부 정보: OAuth 토큰이 유출되거나 손상되면 만료가 없기 때문에 공격자가 생성된 쿠키를 통해 세션을 사용하고 확장할 수 있습니다. 악의적인 사용자는 세션을 사용하여 무단 자원에 액세스하고 무단 작업을 수행할 수 있습니다. 이 속성을 보안 값으로 설정하면 이 숨겨진 세션 확장 메커니즘을 제거하고 토큰 만료를 적용하여 재생 위험을 줄일 수 있습니다.
    의존성 및 필수 구성요소 없음
    기능적 영향
    true로 설정되었을 때의 영향:
    • 접근 토큰이 만료되면 세션이 즉시 종료됩니다.
    • 쿠키는 더 이상 세션 유효성을 새로 고치지 않습니다.
    • 클라이언트는 새로 고침 토큰을 사용하거나 다시 인증하여 새 접근 토큰을 얻어야 합니다.
    파손 가능성:
    • 쿠키 기반 세션 확장에 의존하는 레거시 클라이언트 또는 사용자 지정 통합은 토큰 만료 후 실패합니다.
    • 토큰 갱신 논리가 없는 장기 실행 작업에는 401 오류가 발생할 수 있습니다.
    계속 작동하는 것:
    • 새로 고침 토큰이 있는 표준 OAuth 플로우.
    • 토큰을 사전에 갱신하는 적절하게 설계된 통합입니다.