| Authentication: $wgAuthenticationTokenVersion | ||
| When changed, all existing sessions are invalidated. | ||
| Introduced in version: | 1.27.0 (Gerrit change 267734; git #bec46e30) | |
| Removed in version: | still in use | |
| Allowed values: | (string) | |
| Default value: | null | |
| Other settings: Alphabetical | By function | ||
Details
$wgAuthenticationTokenVersion은 쿠키로 전송되기 전에 데이터베이스에 저장된 토큰 (기본적으로 user.user_token; CentralAuth와 같은 일부 인증 확장은 다른 필드를 사용함)을 절이기 위해 사용됩니다 (누군가 "remember me" 옵션을 활성화로 로그인할 때 수행됨). 이것은 값을 변경하면 모든 세션이 즉시 분리되고 모든 사용자가 로그아웃됨을 의미합니다. 이것은 대량 계정 손상과 같은 비상 사태를 위한 것입니다.
만약 $wgAuthenticationTokenVersion가 null로 설정되면, 데이터베이스로부터 원시 토큰 값이 쿠키에 설정됩니다.
이 설정을 사용하여 사용자를 로그아웃하는 데는 두 가지 제한 사항이 있음을 주목하십시오:
- 만약 공격자가 데이터베이스에서 원시 토큰 값을 얻고, $wgAuthenticationTokenVersion 값을 알고 있으면, 그들은 항상 쿠키 값을 계산할 수 있습니다.
- 만약 $wgAuthenticationTokenVersion가 null에서 다른 값으로 변경되면, 오래된 쿠키는 원시 데이터베이스 값을 포함할 것입니다; 따라서 사용자는 로그아웃될 것이지만, 정교한 사용자는 이전 세션을 복구할 수 있습니다.
See also
- resetUserTokens.php
- resetGlobalUserTokens.php - in CentralAuth