auth_totp_reuse
指令 `auth_totp_reuse` 控制是否在其有效期内重复使用 TOTP 令牌。
Time-based one-time password (TOTP) authentication for NGINX
·
httpserverlocationlimit_except
语法auth_totp_reuse on | off;
默认值off
上下文http, server, location, limit_except
参数1
说明
auth_totp_reuse 指令是 NGINX 基于时间的一次性密码(TOTP)认证模块中的一个配置选项,用于管理 TOTP 令牌在其指定有效期内的重用。当启用(设置为 'on')时,相同的 TOTP 令牌可在过期之前用于多次认证尝试。在用户可能需要在短时间内多次认证且无需每次都生成新令牌的场景中,这很有用。
相反,当设置为 'off' 时,TOTP 令牌只能用于一次认证。这种更严格的做法通过阻止相同代码被用于后续访问尝试来提高安全性,从而有效地将令牌被截取或重放攻击的风险降到最低。在需要对认证事件进行严格控制且这些事件至关重要的环境中,此功能非常有用。
该指令接受单个参数:'on' 或 'off',默认设置为 'off'。它可以放置在 'http'、'server'、'location' 或 'limit_except' 上下文块中,以便根据 NGINX 服务器中不同区域的具体访问要求精细控制令牌重用行为。
配置示例
location /protected {
auth_totp_realm "Protected";
auth_totp_file /etc/nginx/totp.conf;
auth_totp_length 8;
auth_totp_reuse on;
auth_totp_skew 1;
auth_totp_step 1m;
auth_totp_cookie "totp-session";
auth_totp_expiry 1d;
}⚠
在将 auth_totp_reuse 设置为 on 时要小心,因为如果令牌被拦截,可能会使应用程序暴露于重放攻击。
⚠
确保令牌生成间隔和过期设置已正确配置,以配合该重用设置。