我使用wso2apim 4.0.0。我想为管理控制台(publisher, devportal, admin)自定义(设置1分钟)会话超时。我所遵循的方法是官方的[文档](https://apim.docs.wso2.com/en/4.0.0/install-and-setup/setup/security/securing-api-m-web-portals/#configuring-session-time-out),其中指出要在部署中添加以下行。Toml配置文件
[tomcat.management_console]
session_timeout = "30m"
[tomcat.global]
session_timeout = "30m"
我试着将这些配置修改为1m:
[tomcat.management_console]
session_timeout = "1m"
[tomcat.global]
session_timeout = "1m"
重新启动后,似乎只有碳受到上述变化的影响。它在一分钟后自动使会话无效。但是Publisher, Devportal, Admin门户的会话超时保持不变。我希望这个配置在Publisher, Devportal, Admin上也能起作用,所以他们会在一分钟后使会话无效。
我认为这不再适用于发布者、管理员和出境门户,因为APIM对这些门户使用OIDC SSO会话管理方法。门户只使用IDP端会话,默认情况下,它在15分钟过期[1]。从APIM UI端,我们不使用浏览器会话,我们只检查访问令牌有效期(默认1小时),如果令牌过期,我们将用户注销,如果持续存在,可能会使用刷新令牌,然后使用该令牌获得新的访问令牌。在此期间,如果IDP会话已过期,则只将用户重定向到登录页面,否则将进行用户登录,并自动将用户重定向到门户。
所以不用上面的配置,你可以
- 从管理控制台更改常驻密钥管理器的会话超时参数[1]
- 为发布者、开发门户和管理门户服务提供者更新访问令牌和刷新令牌超时。
[1] - https://is.docs.wso2.com/en/latest/guides/login/session-timeout/