問題
- セッション管理に関して、いくつかのセキュリティ設定要件がある。
Environment
- Liferay DXP 7.4
解決策
- アプリケーションは'referrer' ヘッダーを補助的なチェックとしてのみ使用する。
- 多くのブラウザはこのヘッダーを送信しないので、安全でも信頼できるものでもありません。 この注釈により、'referrer'ヘッダーが認可チェックに使用されないことが確認された。
- 長時間認証されたセッションが許可されている場合、アプリケーションは定期的にユーザの権限を再検証し、権限が変更されていないことを確認し、変更されている場合、ユーザはログアウトされ、再認証が強制される。
- 認証されたユーザーの権限変更はリアルタイムで適用され、ログアウトして再認証する必要はない。
- アプリケーションは、アカウントの無効化をサポートし、認可が停止されたときにセッションを終了する(例えば、役割の変更)。
- Liferay は、
your account with login testuser@liferay.com is not active というメッセージとともに、リアルタイムでアカウントを無効にします。 詳しくは管理者にお問い合わせください。管理者ユーザーによってユーザーが無効化された場合でも、セッションは有効ですが、無効化されたユーザーは何も実行できません。
- Liferay は、
追加情報
- これ以上の情報が必要な場合は、HCチケットを提出してください。
会員限定記事
Liferay エンタープライズ サブスクリプションをお持ちのお客様は1500件を超えるベストプラクティス、トラブルシューティング、その他のソリューション記事を閲覧できます。ログインすると、記事全体をお読みいただけます。
ログイン