Jump to content

Příručka:$wgAuthenticationTokenVersion

From mediawiki.org
This page is a translated version of the page Manual:$wgAuthenticationTokenVersion and the translation is 100% complete.
Přihlášení: $wgAuthenticationTokenVersion
Při změně jsou všechny existující relace zrušeny.
Zavedeno od verze:1.27.0 (Gerrit change 267734; git #fbec46e3)
Odstraněno od verze:stále se používá
Povolené hodnoty:(řetězec)
Výchozí hodnota:null

Podrobnosti

$wgAuthenticationTokenVersion se používá k salt tokenu uloženého v databázi (ve výchozím nastavení user.user_token. Některá autentizační rozšíření, jako je CentralAuth , používají jiné pole) před jeho odesláním jako cookie (což se provádí, když se někdo přihlásí s povolenou možností "zapamatovat si mě"). . To znamená, že změna hodnoty okamžitě odpojí všechny relace a odhlásí všechny uživatele. To je určeno pro nouzové situace, jako je například hromadný kompromis účtu.

Pokud je $wgAuthenticationTokenVersion nastaveno na null, je v souboru cookie nastavena nezpracovaná hodnota tokenu z databáze.

Upozorňujeme, že použití tohoto nastavení k odhlášení uživatelů má dvě omezení:

  • Pokud útočník získal nezpracovanou hodnotu tokenu z databáze a zná hodnotu $wgAuthenticationTokenVersion, může vždy vypočítat hodnotu cookie.
  • pokud se $wgAuthenticationTokenVersion změní z null na jinou hodnotu, staré soubory cookie budou obsahovat nezpracovanou hodnotu databáze. Takže zatímco uživatelé budou odhlášeni, sofistikovaní uživatelé mohou obnovit svou starou relaci.

Související odkazy