מסמך זה תורגם על ידי בינה מלאכותית. לכל אי דיוק, אנא עיין בגרסה האנגלית
מדיניות אבטחת טוקן
This feature is provided by the plugin «אימות משתמשים»מבוא
מדיניות אבטחת הטוקן היא הגדרה פונקציונלית שנועדה להגן על אבטחת המערכת ולשפר את חווית המשתמש. היא כוללת שלושה פריטי הגדרה עיקריים: "תקופת תוקף סשן", "תקופת תוקף טוקן" ו"מגבלת זמן לרענון טוקן שפג תוקפו".
כניסה להגדרות
כניסה להגדרות נמצאת תחת הגדרות תוסף - אבטחה - מדיניות טוקן:
תקופת תוקף סשן
הגדרה:
תקופת תוקף הסשן מתייחסת למשך הזמן המרבי שהמערכת מאפשרת למשתמש לשמור על סשן פעיל לאחר התחברות.
פעולה:
לאחר שתקופת תוקף הסשן חולפת, המשתמש יקבל תגובת שגיאה 401 בגישה הבאה למערכת. לאחר מכן, המערכת תפנה את המשתמש לדף ההתחברות לאימות מחדש. דוגמה: אם תקופת תוקף הסשן מוגדרת ל-8 שעות, הסשן יפוג 8 שעות לאחר שהמשתמש התחבר, בהנחה שלא הייתה אינטראקציה נוספת.
הגדרות מומלצות:
- תרחישי פעולה קצרי טווח: מומלץ 1-2 שעות, כדי לשפר את האבטחה.
- תרחישי עבודה ארוכי טווח: ניתן להגדיר ל-8 שעות כדי להתאים לצרכים העסקיים.
תקופת תוקף טוקן
הגדרה:
תקופת תוקף הטוקן מתייחסת למחזור החיים של כל טוקן שהמערכת מנפיקה במהלך הסשן הפעיל של המשתמש.
פעולה:
כאשר טוקן פג תוקפו, המערכת תנפיק אוטומטית טוקן חדש כדי לשמור על פעילות הסשן. כל טוקן שפג תוקפו מותר לרענן פעם אחת בלבד.
הגדרות מומלצות:
מטעמי אבטחה, מומלץ להגדיר אותו בין 15 ל-30 דקות. ניתן לבצע התאמות בהתאם לדרישות התרחיש. לדוגמה:
- תרחישי אבטחה גבוהה: ניתן לקצר את תקופת תוקף הטוקן ל-10 דקות או פחות.
- תרחישי סיכון נמוך: ניתן להאריך את תקופת תוקף הטוקן באופן הולם לשעה.
מגבלת זמן לרענון טוקן שפג תוקפו
הגדרה:
מגבלת זמן רענון טוקן שפג תוקפו מתייחסת לחלון הזמן המרבי המאפשר למשתמש לקבל טוקן חדש באמצעות פעולת רענון, לאחר שפג תוקפו של הטוקן.
מאפיינים:
- אם חלון זמן הרענון חורג, המשתמש חייב להתחבר מחדש כדי לקבל טוקן חדש.
- פעולת הרענון אינה מאריכה את תקופת תוקף הסשן, היא רק מייצרת מחדש את הטוקן.
הגדרות מומלצות:
מטעמי אבטחה, מומלץ להגדיר אותו בין 5 ל-10 דקות.