이 문서는 AI로 번역되었습니다. 부정확한 내용이 있을 경우 영어 버전을 참조하세요
토큰 보안 정책
This feature is provided by the plugin «사용자 인증»소개
토큰 보안 정책은 시스템 보안을 보호하고 사용자 경험을 향상시키기 위한 기능 설정입니다. 주요 설정 항목은 "세션 유효 기간", "토큰 유효 기간", "만료된 토큰 갱신 제한 시간"의 세 가지입니다.
설정 경로
설정 경로는 플러그인 설정 - 보안 - 토큰 정책입니다:
세션 유효 기간
정의:
세션 유효 기간은 사용자가 로그인한 후, 시스템이 해당 사용자의 세션을 활성 상태로 유지하도록 허용하는 최대 시간을 의미합니다.
기능:
세션 유효 기간이 초과되면 사용자가 시스템에 다시 접근할 때 401 오류 응답을 받게 됩니다. 이후 시스템은 사용자를 로그인 페이지로 리디렉션하여 신원을 재확인합니다. 예시: 세션 유효 기간이 8시간으로 설정된 경우, 사용자가 로그인한 시점부터 시간이 계산되며, 추가적인 상호작용이 없다면 8시간 후에 세션이 만료됩니다.
권장 설정:
- 단기 작업 시나리오: 보안 강화를 위해 1~2시간으로 설정하는 것을 권장합니다.
- 장시간 작업 시나리오: 업무 요구사항에 맞춰 8시간으로 설정할 수 있습니다.
토큰 유효 기간
정의:
토큰 유효 기간은 시스템이 사용자의 활성 세션 중에 발급하는 각 토큰의 수명 주기를 의미합니다.
기능:
토큰이 만료되면 시스템은 세션 활동을 유지하기 위해 자동으로 새 토큰을 발급합니다. 만료된 각 토큰은 한 번만 갱신할 수 있습니다.
권장 설정:
보안상의 이유로 15분에서 30분 사이로 설정하는 것을 권장합니다. 시나리오 요구사항에 따라 조정할 수 있습니다. 예를 들어:
- 높은 보안이 요구되는 시나리오: 토큰 유효 기간을 10분 이하로 단축할 수 있습니다.
- 낮은 위험 시나리오: 토큰 유효 기간을 1시간으로 적절히 연장할 수 있습니다.
만료된 토큰 갱신 제한 시간
정의:
만료된 토큰 갱신 제한 시간은 토큰이 만료된 후, 사용자가 갱신 작업을 통해 새 토큰을 다시 얻을 수 있도록 허용하는 최대 시간 창을 의미합니다.
특징:
- 갱신 제한 시간을 초과하면 사용자는 새 토큰을 얻기 위해 다시 로그인해야 합니다.
- 갱신 작업은 세션 유효 기간을 연장하지 않으며, 단지 토큰을 다시 생성할 뿐입니다.
권장 설정:
보안상의 이유로 5분에서 10분 사이로 설정하는 것을 권장합니다.