web-dev-qa-db-ja.com

Apacheで期限切れの認証を設定する方法は?

単純な仮想ホストを使用して、X分のタイムアウトを設定し(期限切れの認証を設定するのと同じ)、ユーザーに資格情報の再挿入を強制したいと思います。

[...]
<Directory /home/user1/>
        Order allow,deny
        Allow from All
        Options -FollowSymLinks +Indexes +Includes -MultiViews
        IndexOptions +IgnoreCase +SuppressDescription +FoldersFirst +NameWidth=40 +SuppressHTMLPreamble +FancyIndexing +IconHeight=16 +IconWidth=16
        AllowOverride none
        AuthUserFile /etc/Apache2/user1.pass
        AuthName "server.example.com"
        AuthType Digest
        require valid-user
</Directory>
[...]
4
Pol Hallen

最初

私が知っているように、Apache/HTTP認証はあなたに制御を与えません。
HTTP認証はセッション/ Cookieで機能せず、ブラウザは認証資格情報を継続的に送信するため、最初の認証後、サーバーはブラウザにログアウトまたはタイムアウトするように指示できません。ログアウトするには、ブラウザを閉じる必要があります。

しかし、Apache Webページを見ると、AuthDigestNonceLifetimeディレクティブが役立つ場合があります

apache Webページから:

AuthDigestNonceLifetimeディレクティブは、サーバーのナンスの有効期間を制御します。クライアントが期限切れのナンスを使用してサーバーに接続すると、サーバーはstale = trueで401を返します。秒が0より大きい場合は、ナンスが有効である時間を指定します。これはおそらく10秒未満に設定されるべきではありません。秒が0未満の場合、ナンスは期限切れになりません

3
Nidal