auth_totp_step
Директива `auth_totp_step` настраивает интервал времени действия одноразовых паролей, основанных на времени (TOTP), в аутентификации NGINX.
Описание
Директива auth_totp_step задаёт шаг времени в секундах, который определяет, как долго сгенерированный TOTP будет действителен. Определение этого периода действия крайне важно для эффективных механизмов безопасности, поскольку оно задаёт окно, в течение которого одноразовые пароли могут быть использованы для аутентификации. Указывая этот интервал, администраторы могут повысить безопасность, минимизируя время, в течение которого принимается любой одноразовый пароль; это помогает предотвратить атаки повторного воспроизведения и требует от пользователей регулярной генерации новых токенов.
Указанный параметр должен быть положительным целым числом, представляющим продолжительность в секундах. Например, если вы зададите auth_totp_step 30;, сгенерированный TOTP будет действителен в течение 30 секунд с момента его генерации. Эта длительность также должна соответствовать ожидаемой конфигурации генераторов TOTP на стороне клиента, которые обычно работают в похожем временном интервале. Поэтому для корректной работы необходима согласованная конфигурация на сервере и клиенте.
Пример конфига
location /protected {
auth_totp_realm "Protected";
auth_totp_file /etc/nginx/totp.conf;
auth_totp_step 1m;
# other configurations...
}Убедитесь, что шаг времени совпадает с настройками клиента TOTP, чтобы избежать сбоев аутентификации.
Использование слишком короткого шага времени может привести к появлению запросов на повторную аутентификацию у пользователей, если они не успеют вовремя сгенерировать новый TOTP.
Если auth_totp_reuse включён, учтите, как шаг времени влияет на повторное использование токенов TOTP.