auth_totp_cookie
Директива `auth_totp_cookie` настраивает имя HTTP-куки, используемой для поддержания состояния аутентификации клиентов, использующих TOTP.
Описание
Директива auth_totp_cookie имеет ключевое значение для модуля аутентификации Time-based One-Time Password (TOTP) в NGINX, так как она задаёт имя куки, которая будет отслеживать аутентифицированных пользователей. После успешного входа пользователя с использованием TOTP устанавливается эта куки, что позволяет серверу распознавать клиента в последующих запросах без необходимости повторной верификации TOTP каждый раз. Это особенно полезно, поскольку значения TOTP имеют ограниченный срок действия, что повышает как удобство, так и безопасность.
Имя определяемой куки может быть любым, выбранным системным администратором; значение по умолчанию — 'totp'. Такая гибкость позволяет адаптировать имя в соответствии с конкретными требованиями приложения или политиками управления куками в организации. Когда пользователь аутентифицирован, система TOTP устанавливает эту куки, имя которой определяется спецификациями, заданными в auth_totp_cookie, что фактически продлевает аутентифицированную сессию за пределы срока действия самого TOTP. Длительность жизни этой куки можно контролировать с помощью директивы auth_totp_expiry, которая задаёт, как долго куки будет сохраняться до автоматического истечения срока, в конечном итоге обеспечивая бесшовный опыт работы пользователей в веб-приложениях.
Пример конфига
server {
listen 80;
location /protected {
auth_totp_realm "Protected";
auth_totp_file /etc/nginx/totp.conf;
auth_totp_length 8;
auth_totp_reuse off;
auth_totp_skew 1;
auth_totp_step 1m;
auth_totp_cookie "totp-session";
auth_totp_expiry 1d;
}
}Убедитесь, что имя cookie не конфликтует с другими cookie, устанавливаемыми приложением или используемым фреймворком.
Будьте осторожны при установке времени истечения: чрезмерно длительный срок может подорвать безопасность, связанную с политиками истечения для чувствительных приложений.