Saltar al contenido

Sesiones

Todas las interacciones con Vinyl ocurren dentro del contexto de una sesión. Se crea una sesión cuando un usuario visita Vinyl por primera vez. Las solicitudes posteriores del mismo usuario se asocian con la sesión.

Si desea establecer un tiempo de espera basado en la inactividad del usuario por motivos de seguridad, esto se puede lograr estableciendo un valor de Caducidad de autenticación. Consulte la sección Autenticación + Tiempo de espera de sesión de este artículo para obtener más información.

Seguimiento

Vinyl rastrea las sesiones asignando a cada navegador individual un identificador único. El identificador se almacena en una cookie en memoria. Como tal, cerrar (todas las instancias) el navegador finaliza efectivamente la sesión. La cookie está marcada como HttpOnly. Si el navegador está conectado al servidor mediante HTTPS, la cookie también se marca como segura.

Para lograr la máxima compatibilidad entre implementaciones de proveedores de datos, el identificador de sesión toma la forma de UUID. Específicamente, es un UUID versión 4, generado utilizando un generador de números criptográficamente aleatorios. Los UUID se componen de 128 bits. Sin embargo, se reservan 6 bits para identificar la versión. Esto proporciona un total de 122 bits de aleatoriedad, que deberían ser lo suficientemente largos como para que no se puedan adivinar.

Desarrollo Autenticación + Tiempo de Espera de Sesión

Los desarrolladores pueden acceder al identificador de sesión actual utilizando session() función mvSQL. Esto está disponible independientemente de si un evento se ejecuta en primer plano o en segundo plano. Sin embargo, tenga en cuenta que a los eventos programados se les asigna un identificador de sesión transitorio. El identificador de sesión transitoria no está asociado con una sesión de usuario y cambia cada vez que se ejecuta el evento programado.

Los identificadores de sesión se pueden almacenar en columnas del tipo "ID único".

Autenticación + Tiempo de espera de sesión

Las sesiones en sí no expirarán. Sin embargo, los administradores de seguridad pueden configurar la caducidad de la autenticación, lo que proporciona control sobre el tiempo de espera de la sesión. La caducidad de la autenticación define la vida útil de los tokens de seguridad. Cuando un usuario inicia sesión, se le otorga un token de seguridad. El token de seguridad en sí tiene una vida útil con una ventana deslizante: Vinyl emitirá un nuevo token si el usuario interactúa con Vinyl más de la mitad de la ventana de vencimiento.

De forma predeterminada, el token de seguridad tiene una vida útil de 2 semanas. Para configurar la caducidad de la autenticación:

  1. Inicie sesión en Vinyl como administrador.
  2. Navegue hasta IDE.
  3. Haga clic en el botón Proveedores de seguridad.
  4. En el panel Configuración, haga clic en el botón Editar.

  5. Proporcione un valor para Caducidad de la autenticación.

    • La vida útil del token de seguridad se mide en minutos.

  6. Haga clic en el botón Guardar.

Nota

La vida útil del token de seguridad solo se aplica a los tokens de seguridad recién emitidos.

Cómo configurar sesiones

De forma predeterminada, Vinyl conserva la información de la sesión en la base de datos. Los administradores pueden ver las sesiones y cerrar sesión por la fuerza en las sesiones de los usuarios. El seguimiento de las sesiones protege contra ciertas vulnerabilidades, como los ataques de reproducción de cookies. Este artículo describe las políticas de almacenamiento de sesiones configurables.

Para configurar sesiones

  1. Navegue hasta IDE
  2. En el panel Conectar, haga clic en el botón Proveedores de seguridad

  3. Las siguientes opciones se pueden encontrar en el panel Configuración en Sesiones:

    • Almacenamiento de sesiones = Determina cuándo se almacenan las sesiones. Opciones:

      • Autenticado = Almacena solo sesiones autenticadas.
      • No persistente = Las sesiones no se almacenan. Coincide con el comportamiento heredado.
      • Persistente = Almacena todas las sesiones anónimas y autenticadas.
      • Cerrar sesión = Almacena solo sesiones cerradas.

    • Caducidad anónima = Valor numérico (segundos) que determina cuánto tiempo se almacenan las sesiones anónimas.

    • Máx. Concurrente = Valor numérico (recuento) que especifica el número máximo de sesiones simultáneas que un Usuario puede tener al mismo tiempo.

Para gestionar sesiones

  1. Navegue hasta IDE
  2. En el panel Runtime, haga clic en el botón Administración de usuarios
  3. En el panel Usuarios, haga clic en el botón Más y elija Sesiones.

  4. Desde aquí, puede ver las sesiones existentes, cerrar sesiones individuales o borrar todas las sesiones (incluida la suya).

    sesiones.png