“登录超时”设置和功能的原因是什么？

Question

如果应用程序将用户重定向到 Keycloak 登录页面，并且该页面停留的时间超过“登录超时”（默认 5 分钟），那么当用户输入用户名和密码（而不是登录）时，她会看到以下内容：

\n

\n

您登录的时间太长。登录过程从头开始。

\n

\n

\n

为了避免这种情况，可以将“领域设置 \xe2\x86\x92 令牌 \xe2\x86\x92 登录超时”更改为例如 10000 天，即 27 年，这应该确保这种情况在现实中永远不会发生。

\n

但在我们继续有效地禁用此超时之前，我们想问：此超时的目的是什么？显然有人不厌其烦地实施了它，但它能防止什么？禁用它会产生什么（安全？）后果？

\n

Answer 1

据我所知，它主要用作避免会话固定攻击的附加机制。例如，在公司中，用户去喝咖啡并让计算机保持打开状态，然后黑客看到机会并在浏览器 URL 中手动设置\n当前登录名session ID（或只是复制它）。现在，如果系统的配置方式在预登录阶段和后session ID登录阶段之间不会发生变化。然后，在受害者成功通过身份验证后，黑客将能够使用受害者当前所在的会话，而无需插入任何身份验证；

\n

超时时间越长，发生此类攻击的机会窗口就越宽。登录超时只是避免此类问题的另一层保护，因为它是会话过期、在登录前和登录后阶段之间更改会话 ID 等。

\n

更正式地说，人们可以读入（来源）。

\n

\n

初始登录超时\n此额外保护机制尝试强制续订\n会话 ID 预身份验证，避免出现\n之前使用的（或手动设置的）会话 ID 被使用同一台计算机的下一个受害者重复使用的情况，例如，在会话固定攻击中。

\n

\n

来自OWASP.org

\n

\n

会话固定是一种允许攻击者劫持有效用户会话的攻击。该攻击探索了 Web 应用程序管理会话 ID 的方式的限制，更具体地说是易受攻击的 Web 应用程序。对用户进行身份验证时，\xe2\x80\x99t\n不会分配新的会话 ID，从而可以使用现有的会话\nID。该攻击包括获取有效的会话 ID（例如，通过连接到应用程序）、诱导用户使用该会话 ID 进行自身身份验证，然后根据所使用的会话 ID 劫持用户验证的会话。攻击者必须提供合法的 Web 应用程序会话 ID 并尝试让受害者 xe2x80x99s 浏览器使用它。

\n

\n

关于会话固定攻击如何工作以及如何防止它的相当好的解释在这里和这里。

\n

现在我不是安全专家，但我想说，如果您有其他预防机制（例如更改会话 ID），那么应该没问题。然而，另一方面，您真的需要那么多时间来登录吗？再次刷新会很烦人吗？

\n