Справка по директиве

auth_totp_expiry

Задает время истечения срока действия cookie аутентификации, используемого для аутентификации на основе TOTP в NGINX.

Time-based one-time password (TOTP) authentication for NGINX · httpserverlocationlimit_except
Синтаксисauth_totp_expiry ;
По умолчанию0s
Контекстhttp, server, location, limit_except
Аргументы1

Описание

Директива auth_totp_expiry имеет решающее значение для управления жизненным циклом сессии клиентов, аутентифицированных с помощью одноразовых паролей, основанных на времени (TOTP), в NGINX. Она указывает длительность, в течение которой cookie аутентификации будет оставаться действительным после успешной аутентификации. Если значение истечения срока не настроено явно (по умолчанию 0s), cookie будет выступать в роли сессионного cookie, то есть удаляться при завершении сессии браузера.

Эту директиву можно задавать в различных контекстах, включая http, server, location и limit_except, что позволяет гибко задавать область действия в зависимости от потребностей сервера. Например, установка более длительного срока действия (например, 1d для одного дня) позволит пользователям оставаться аутентифицированными без необходимости повторно вводить код TOTP в течение всего этого времени, улучшая удобство использования при сохранении уровня безопасности в случаях, когда сессия должна быть недолгой. Напротив, более короткий срок может использоваться в сценариях с повышенными требованиями к безопасности, где требуется частая повторная аутентификация.

Поведение этой директивы напрямую влияет на управление сессиями и опыт пользователя. Важно выбрать подходящий период истечения, балансируя удобство и требования безопасности. Кроме того, время истечения должно соответствовать любому настроенному временному шагу для генерации TOTP, чтобы обеспечить бесшовный пользовательский опыт.

Пример конфига

location /protected {
    auth_totp_realm "Protected";
    auth_totp_file /etc/nginx/totp.conf;
    auth_totp_length 8;
    auth_totp_reuse off;
    auth_totp_skew 1;
    auth_totp_step 1m;
    auth_totp_cookie "totp-session";
    auth_totp_expiry 1d;
}

Убедитесь, что период истечения срока действия соответствует потребностям пользователей по длительности сессии.

Установка слишком короткого срока истечения может раздражать пользователей, которым приходится повторно аутентифицироваться.

Связанные директивы

auth_totp_cookieauth_totp_realmauth_totp_stepauth_totp_reuseauth_totp_skew
← Ко всем директивам