auth_digest_drop_time
`auth_digest_drop_time` 指令设置在 NGINX 摘要认证模块中丢弃旧认证数据的时间周期(以秒为单位)。
Digest Authentication for NGINX
·
httpserverlocation
语法auth_digest_drop_time time_in_seconds;
默认值300
上下文http, server, location
参数1
说明
auth_digest_drop_time 指令是 NGINX 摘要认证模块中的一个可配置参数,指定用户注销或其认证会话失效后保留旧认证令牌的持续时间(以秒为单位)。当该持续时间到期时,模块会丢弃这些过期的令牌,从而防止在后续请求中被未授权使用。这对于通过确保旧凭证不会在应被失效后继续存在并被恶意重用来说尤其有助于增强安全性。
该指令可以应用于不同上下文,包括 http、server 和 location,使其在各种配置范围内都很灵活。它接受一个表示保留旧认证数据秒数的单个数字参数。设置更高的值会增加潜在被泄露令牌仍然有效的时间跨度,而较低的值则促使更快地清理这些令牌,在存在滥用风险的场景下可提高安全性。
如果未显式设置,该指令默认值为 300 秒(或 5 分钟),这意味着在没有具体配置时,旧令牌将被保留一段中等长度的时间。管理员应选择反映其安全策略和用户体验需求的值,在令牌快速失效与活动会话可用性之间取得平衡。
配置示例
server {
listen 80;
location / {
auth_digest "Restricted Area";
auth_digest_user_file /etc/nginx/digest.users;
auth_digest_drop_time 600;
}
}⚠
如果设置得太低,可能会给用户带来不便,他们的有效进行中会话可能会被中断。
⚠
如果设置得太高,可能会因为遗留的旧令牌而使系统面临安全风险。