如果应用程序将用户重定向到 Keycloak 登录页面,并且该页面停留的时间超过“登录超时”(默认 5 分钟),那么当用户输入用户名和密码(而不是登录)时,她会看到以下内容:
您登录的时间太长。登录过程从头开始。
为了避免这种情况,可以将“领域设置→令牌→登录超时”更改为例如10000天,也就是27年,这应该可以确保这种情况在现实中永远不会发生。
但在我们继续有效地禁用此超时之前,我们想问:此超时的目的是什么?显然有人不厌其烦地实施了它,但它能防止什么?禁用它会产生什么(安全?)后果?
据我所知,它主要用作避免的附加机制会话固定攻击。例如,在一家公司中,用户去喝咖啡并让计算机保持打开状态,然后hacker看到机会并在浏览器 URL 中手动设置
当前登录session ID(或者只是复制它)。现在,如果系统的配置方式为session ID之间不改变pre和pos登录阶段。然后,在受害者成功通过身份验证后,黑客将能够使用受害者当前所在的会话,而无需插入任何身份验证;
超时时间越长,发生此类攻击的机会窗口就越宽。登录超时只是避免此类问题的另一层保护,因为它是会话过期、在登录前和登录后阶段之间更改会话 ID 等。
更正式地说,人们可以读入(source).
初始登录超时这种额外的保护机制试图强制更新 会话ID预认证,避免了之前的场景 使用过的(或手动设置的)会话ID由下一个受害者重复使用 例如,在会话固定攻击中,同一台计算机。
并从OWASP.org
会话固定是一种允许攻击者劫持 有效的用户会话。该攻击探索了攻击方式的局限性 Web 应用程序管理会话 ID,更具体地说是 易受攻击的网络应用程序。验证用户身份时,不会 分配新的会话 ID,从而可以使用现有会话 ID。该攻击包括获取有效的会话 ID(例如通过 连接到应用程序),诱导用户进行身份验证 他自己使用该会话 ID,然后劫持经过用户验证的会话 ID 通过了解所使用的会话 ID 来进行会话。攻击者必须 提供合法的 Web 应用程序会话 ID 并尝试使 受害者的浏览器使用它。
关于会话固定攻击如何工作以及如何预防它的相当好的解释here and here.
现在我不是安全专家,但我想说,如果您有其他预防机制(例如更改会话 ID),那么您should没事的。然而,另一方面,您真的需要那么多时间来登录吗?这就是一个烦恼再次刷新?
