Apache-Httpd

如何在 Apache 中設置過期的身份驗證?

  • August 16, 2016

使用簡單的虛擬主機,我想設置 X 分鐘的超時(與設置過期的身份驗證相同)以強制使用者重新插入其憑據。

[...]
<Directory /home/user1/>
       Order allow,deny
       Allow from All
       Options -FollowSymLinks +Indexes +Includes -MultiViews
       IndexOptions +IgnoreCase +SuppressDescription +FoldersFirst +NameWidth=40 +SuppressHTMLPreamble +FancyIndexing +IconHeight=16 +IconWidth=16
       AllowOverride none
       AuthUserFile /etc/apache2/user1.pass
       AuthName "server.example.com"
       AuthType Digest
       require valid-user
</Directory>
[...]

第一的

據我所知,apache/HTTP 身份驗證不能讓您控制。

首次身份驗證後,您的伺服器無法指示瀏覽器註銷或超時,因為 HTTP 身份驗證不適用於會話/cookie,並且瀏覽器將不斷發送身份驗證憑據。要註銷,您應該關閉瀏覽器。

但查看 Apache 網頁: AuthDigestNonceLifetime指令可能有用

來自 apache 網頁:

AuthDigestNonceLifetime 指令控制伺服器隨機數的有效時間。當客戶端使用過期的 nonce 聯繫伺服器時,伺服器將返回一個 401,並且 stale=true。如果 seconds 大於 0,則它指定 nonce 有效的時間量;這可能永遠不應設置為小於 10 秒。如果秒小於 0,則 nonce 永不過期

引用自:https://unix.stackexchange.com/questions/145966