场景:
用户一启动浏览器,通过单点登录(SSO)连接到论坛,使用一段时间后关闭浏览器。
用户二在同一台机器上启动浏览器,再次通过单点登录(SSO)登录论坛。该过程引导他使用凭据完成完整登录流程,但当他进入论坛时,却被识别为用户一。
Discourse 允许将会话超时设置为最少一小时。这意味着用户在一小时内返回电脑,只需登录即可通过 Cookie 继承上一用户的身份。
2016 年曾推出过一项修复方案,使浏览器关闭时 Cookie 自动失效,但该修复后来被回滚。
如果浏览器未配置为隐私模式,在多人共用同一工作站的场景中,该软件存在严重安全隐患。
是否有办法修复此问题?
谢谢
Peter
Falco
(Falco)
2
同样的问题,同样的答案:
您可以查看上述已撤销的提交中的代码,并将其移植为插件以满足您的需求。
您也可以在 SSO 系统中实现登出集成,以便当用户登出时调用 Discourse 终止该用户的所有现有会话。
不,这不被视为安全漏洞。
1 个赞
代码被回滚令人遗憾,因为它在此类情况下具有相当大的价值。
能否请您提供终止会话所需的 Discourse 调用指引?
谢谢,Rafael