Kézikönyv:$wgAuthenticationTokenVersion
Authentication: $wgAuthenticationTokenVersion | |
---|---|
Megváltoztatásakor az összes korábbi munkamenet érvénytelenítve lesz. |
|
Bevezetve: | 1.27.0 (Gerrit #I9d316a; git #fbec46e3) |
Eltávolítva: | használatban |
Megengedett értékek: | (string) |
Alapértelmezett érték: | null |
Egyéb beállítások: Betűrendben | Funkció szerint |
Részletek
A változó az adatbázisban tárolt token törlésére szolgál (alapértelmezésben user.user_token
, néhány kiterjesztés, például a CentralAuth más mezőket használ) a sütiként való elküldés előtt (amely akkor történik meg, ha valaki a „jegyezz meg” bepipálásával lép be).
Ez azt jelenti, hogy a beállítás módosításakor a szoftver az összes felhasználót kijelentkezteti.
Ezt olyan vészhelyzetekben javasolt használni, mint például a fiókokkal való tömeges visszaélés.
Ha a változó értéke „null”, az adatbázisból származó nyers tokenérték a sütiben rögzítve lesz.
Vedd figyelembe, hogy a felhasználók ilyen módon való kijelentkeztetésének két korlátja van:
- Ha egy támadó megszerezte a nyers tokent az adatbázisból és ismeri a
$wgAuthenticationTokenVersion
értékét, abból bármikor kiszámolhatja a süti értékét is. - Ha a
$wgAuthenticationTokenVersion
értéke „null”-ról más értékre módosult, a régi sütikben szerepelni fog a nyers adatbázisérték; emiatt kijelentkeztetés után a kifinomultabb módszerekkel rendelkezők visszaállíthatják régi munkamenetüket.
Lásd még
- resetUserTokens.php
- resetGlobalUserTokens.php - a CentralAuth -ban