Справка по директиве

encrypted_session_expires

Устанавливает время истечения срока действия зашифрованных сессий в NGINX.

Encrypt and decrypt NGINX variable values · httpserverlocationif in serverif in location
Синтаксисencrypted_session_expires time;
По умолчанию86400
Контекстhttp, server, location, if in server, if in location
Аргументы1

Описание

Директива encrypted_session_expires задаёт время в секундах, в течение которого сессия остаётся действительной после создания. Это важно для реализации мер безопасности в приложении, где сессии пользователей необходимо эффективно отслеживать и контролировать, чтобы предотвратить несанкционированный доступ или перехват сессии. Когда сессия создаётся другими директивами, время истечения, заданное этой директивой, определяет максимальную продолжительность, в течение которой данные сессии доступны без необходимости повторной аутентификации или повторного шифрования.

Эта директива может располагаться в различных контекстах, включая http, server, location и условия if внутри этих контекстов. Возможность конфигурирования в разных областях даёт гибкость при управлении истечением сессий в зависимости от потребностей конкретных блоков сервера или контекстов расположения. Например, разные конечные точки могут требовать большей или меньшей степени защиты в зависимости от своей чувствительности, и администраторы могут соответственно тонко настраивать срок жизни сессии.

Ожидаемым значением для этой директивы является один числовой аргумент, указывающий продолжительность в секундах. Если не задано, по умолчанию используется один день (86400 секунд). Изменение времени истечения может быть важным для оптимизации пользовательского опыта при сохранении надёжных практик безопасности, таких как автоматический выход из системы или механизмы обновления сессии.

Пример конфига

http {
    encrypted_session_expires 3600;  # sessions expire after 1 hour
}

server {
    location /secure {
        encrypted_session_expires 1200;  # sessions expire after 20 minutes
    }
}

Установка слишком короткого срока действия может ухудшить пользовательский опыт, поскольку потребуется частая повторная авторизация.

Если срок действия будет больше ожидаемого, это может создавать риски безопасности, так как старые сессии могут оставаться активными.

Убедитесь, что срок действия согласован с логикой приложения, управляющей пользовательскими сессиями.

Связанные директивы

encrypted_session_keyencrypted_session_ivset_encrypt_sessionset_decrypt_session
← Ко всем директивам