auth_totp_reuse
Директива `auth_totp_reuse` контролирует, может ли токен TOTP повторно использоваться в течение периода его действия.
Описание
Директива auth_totp_reuse является параметром конфигурации в модуле аутентификации NGINX Time-based One-Time Password (TOTP), который управляет повторным использованием токенов TOTP в течение установленного периода их действия. Когда она включена (установлена в 'on'), один и тот же токен TOTP может использоваться повторно для нескольких попыток аутентификации до истечения срока его действия. Это полезно в сценариях, когда пользователям может потребоваться аутентифицироваться несколько раз за короткий промежуток времени без необходимости генерировать новый токен каждый раз.
Напротив, при установке в 'off' токен TOTP может быть использован для аутентификации только один раз. Такой более строгий подход повышает безопасность, предотвращая использование одного и того же кода при последующих попытках доступа, что эффективно минимизирует риск перехвата токена или атак повторного воспроизведения. Эта функциональность полезна в средах, где события аутентификации критичны и требуют строгого контроля.
Директива принимает единственный аргумент: 'on' или 'off', при этом по умолчанию установлено 'off'. Её можно размещать в блоках контекста 'http', 'server', 'location' или 'limit_except' для точного управления поведением повторного использования токенов в зависимости от конкретных требований доступа к различным участкам сервера NGINX.
Пример конфига
location /protected {
auth_totp_realm "Protected";
auth_totp_file /etc/nginx/totp.conf;
auth_totp_length 8;
auth_totp_reuse on;
auth_totp_skew 1;
auth_totp_step 1m;
auth_totp_cookie "totp-session";
auth_totp_expiry 1d;
}Будьте осторожны при установке auth_totp_reuse в значение on, так как это может подвергнуть приложение атакам воспроизведения, если токены будут перехвачены.
Убедитесь, что интервалы генерации токенов и параметры истечения срока действия настроены правильно, чтобы дополнять настройку повторного использования.