我的应用程序使用pac4j和apacheshiro。我想知道我们需要设置的最大AuthenticationLifetime值是多少?如果我把它设置为更多的时间;31536000";秒(365天(,那么它将打开潜在的安全问题。如果有人能够拦截安全令牌,他们可以使用它365天吗?那么,设置最大身份验证寿命的最佳方法是什么呢。
这取决于您的IDP,如果IDP确保会话有效期长达365天,您可以将最大身份验证生存期设置为长达365天。
但是,如果IDP在1天后使会话过期,则设置maximumAuthenticationLifetime超过一天是没有用的。
因此,maximumAuthenticationLifetime必须为<=IDP 配置的会话超时
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium