auth_digest_expires
设置摘要认证凭据过期的持续时间。
Digest Authentication for NGINX
·
httpserverlocation
语法auth_digest_expires time_in_seconds;
默认值10
上下文http, server, location
参数1
说明
指令 auth_digest_expires 指定在摘要认证会话中签发的认证凭据在多长时间后过期。这对于维护安全性至关重要,可确保证据不会无限期有效。指定的持续时间以秒为单位计量,会影响客户端在需要重新认证之前能重用凭据的时长。当指定的过期时间到期后,服务器将不再接受客户端先前签发的凭据,从而迫使客户端再次提供凭据。
该指令可以在多种上下文中使用,包括 http、server 和 location,根据所需的作用域可以灵活配置。它接受一个表示以秒为单位持续时间的单个数字参数。如果未显式设置,则会依赖内部默认值,如果凭据保持有效时间过长,可能导致安全性降低。
为了有效使用,必须权衡用户便利性与安全性之间的折衷;设置较短的过期时间可能提高安全性,但会因需要频繁认证而对用户体验产生负面影响。总体来说,auth_digest_expires 在实现这种平衡中起着关键作用,通过确保客户端在定义的时间间隔内需要重新认证,从而降低因凭据被窃取或被截获而导致的未经授权访问的风险。
配置示例
location /protected {
auth_digest "Protected Area";
auth_digest_user_file /etc/nginx/.htdigest;
auth_digest_expires 300;
}⚠
如果将此指令设置得过高,可能会因为允许长期有效的凭据而引发安全漏洞。
⚠
未显式设置该指令时将使用默认值 10 秒,这在某些用例中可能不足。
⚠
在调整过期值时,务必进行适当的测试,因为这可能会对用户体验产生负面影响。