auth_digest_drop_time

Директива auth_digest_drop_time — это настраиваемый параметр в модуле digest-аутентификации NGINX, который определяет длительность (в секундах) хранения старых токенов аутентификации после выхода пользователя или при инвалидировании его сессии аутентификации. По истечении этого периода модуль удаляет устаревшие токены, предотвращая их несанкционированное использование в последующих запросах. Это особенно полезно для повышения безопасности, так как препятствует сохранению старых учётных данных и их возможному злоупотреблению.

Эту директиву можно применять в различных контекстах, включая http, server и location, что делает её универсальной для разных областей конфигурации. Она принимает один числовой аргумент, указывающий количество секунд, в течение которых сохраняются старые данные аутентификации. Установка большего значения увеличивает период, в течение которого потенциально скомпрометированные токены могут оставаться действительными, тогда как более низкое значение обеспечивает более быструю очистку таких токенов, повышая безопасность в сценариях с риском их неправомерного использования.

По умолчанию, если директива явно не задана, её значение равно 300 секундам (или 5 минутам), то есть без специальной конфигурации старые токены будут храниться в течение умеренного времени. Администраторам следует выбирать значение, соответствующее политике безопасности и потребностям удобства пользователей, находя баланс между быстрым инвалидированием токенов и удобством работы в активной сессии.