Sessiebeheer
het beheer van de Zittingis een anti-ontkenning van de dienst (Dos) beste praktijken voor API veiligheid. Een sessie geeft aan hoeveel tijd een bezoeker aan uw site besteedt en heeft geen betrekking op hoe lang Admin-gebruikers of -klanten zijn aangemeld bij hun accounts.
Een sessie is een reeks HTTP-aanvraag- en responstransacties voor het netwerk die aan dezelfde gebruiker zijn gekoppeld. Dit is een manier om een client (Admin) aan de gegevens te koppelen wanneer deze toegang krijgen tot de server. Sessies worden gebruikt om variabelen tot stand te brengen, zoals toegangsrechten en lokalisatie-instellingen, die van toepassing zijn op elke interactie die een gebruiker tijdens de sessie met een webtoepassing heeft.
Sessieformaat
Gebruik de volgende configuratie-instellingen om de maximale sessiegrootte voor Admin-gebruikers en winkelbezoekers te beperken:
- Max Session Size in Admin - Beperk de maximale sessiegrootte in bytes. Gebruik
0
om uit te schakelen. - Max Session Size in Storefront - Beperk de maximale sessiegrootte in bytes. Gebruik
0
om uit te schakelen.
256000
bytes (of 256 KB).om maximumzittingsgrootte te vormen:
-
Voor Admin sidebar, ga Stores > Settings>Configuration.
-
Vouw in het linkerdeelvenster Advanced uit en kies System .
-
Breid de Security sectie uit om tot de zittingsmontages toegang te hebben.
{width="600" modal="regular"}
-
Voer nieuwe sessiegrootten in bytes in.
note warning WARNING Als u de waarde te laag instelt, kunnen er problemen optreden. Als u een van de opties onder de standaardwaarde van 256000 bytes instelt, wordt een waarschuwingsbericht weergegeven. Als u op No klikt, wijzigt het systeem de waarde in 256000
. -
Klik op Save Config.
Admin-sessies
Als u de maximale sessiegrootte overschrijdt, wordt een foutbericht weergegeven en wordt de sessiegrootte door het systeem vastgelegd in de map var/log
.
Als u toegang tot Admin verliest nadat het plaatsen van de zittingsgrootte aan laag, gebruik CLI om de configuratie terug te stellen:
bin/magento config:set system/security/max_session_size_admin 256000
Storefront-sessies
Als u de maximale sessiegrootte overschrijdt, wordt er geen fout weergegeven, maar wordt de sessiegrootte door het systeem vastgelegd in de map var/log
.
Sessievalidatie
Met Adobe Commerce en Magento Open Source kunt u sessievariabelen valideren als een beschermende maatregel tegen mogelijke aanvallen van sessiefixatie of pogingen om gebruikerssessies te vergiftigen of te kapen. De instellingen voor sessievalidering bepalen hoe sessievariabelen worden gevalideerd tijdens elk bezoek in de winkel en of de sessie-id is opgenomen in de URL van de winkel.
Voor technische informatie, zie Redis van het Gebruik voor zittingsopslagin de Gids van de Configuratie.
{width="600" modal="regular"}
De validatie controleert of bezoekers zeggen dat ze dit zijn door de waarde in de validatievariabelen te vergelijken met de sessiegegevens die in $_SESSION
-gegevens voor de gebruiker zijn opgeslagen. Validatie mislukt als de informatie niet naar behoren wordt verzonden en de bijbehorende variabele leeg is. Als een sessievariabele het validatieproces mislukt, wordt de clientsessie onmiddellijk beëindigd, afhankelijk van de instellingen voor sessievalidatie.
Het toelaten van alle bevestigingsvariabelen kan aanvallen helpen verhinderen, maar zou ook de prestaties van de server kunnen beïnvloeden. Standaard is alle validatie van sessievariabelen uitgeschakeld. We raden u aan met de instellingen te experimenteren om de beste combinatie te vinden voor de installatie van uw Adobe Commerce of Magento Open Source. Het activeren van alle validatievariabelen kan onnodig beperkend zijn en kan toegang tot klanten verhinderen die de verbindingen van Internet hebben die door een volmachtsserver overgaan of van achter een firewall voortkomen. Raadpleeg de documentatie over systeembeheer voor uw Linux®-systeem voor meer informatie over sessievariabelen en het gebruik ervan.
om de zittingsbevestiging te vormen:
-
Voor Admin sidebar, ga Stores > Settings>Configuration.
-
Vouw in het linkerdeelvenster General uit en kies Web.
-
Breid de Session Validation Settings sectie uit.
-
Stel elk van de configuratieopties in:
-
Validate REMOTE_ADDR — Ingesteld op
Yes
om te controleren of het IP-adres van een aanvraag overeenkomt met wat is opgeslagen in de variabele$_SESSION
. -
Validate HTTP_VIA — Ingesteld op
Yes
om te controleren of het proxyadres van een binnenkomend verzoek overeenkomt met wat is opgeslagen in de variabele$_SESSION
. -
Validate HTTP_X_FORWARDED_FOR — Ingesteld op
Yes
om te controleren of het doorgestuurde adres van een aanvraag overeenkomt met wat is opgeslagen in de variabele$_SESSION
. -
Validate HTTP_USER_AGENT — Ingesteld op
Yes
om te controleren of de browser of het apparaat dat wordt gebruikt om de winkel te openen tijdens een sessie, overeenkomt met de inhoud van de variabele$_SESSION
.
-
-
Klik op Save Config als de bewerking is voltooid.
Levensduur beheersessie
Als veiligheidsmaatregel, is Admin aanvankelijk geplaatst aan tijd uit na 900 seconden (15 minuten) van toetsenbordinactiviteit. U kunt de levensduur van de sessie aanpassen aan uw werkstijl.
om Admin zittingsleven aan te passen:
-
Voor Admin sidebar, ga Stores > Settings>Configuration.
-
Schuif omlaag en vouw Advanced uit in het linkerdeelvenster.
-
Klik op Admin.
-
Breid de Security sectie uit.
-
Voer bij Admin Session Lifetime (seconds) het aantal seconden in dat een sessie actief blijft voordat deze wordt beëindigd.
{width="600" modal="regular"}
-
Klik op Save Config als de bewerking is voltooid.## Tijdens Admin-sessie
Als veiligheidsmaatregel, is Admin aanvankelijk geplaatst aan tijd uit na 900 seconden (15 minuten) van toetsenbordinactiviteit. U kunt de levensduur van de sessie aanpassen aan uw werkstijl.
om Admin zittingsleven aan te passen:
-
Voor Admin sidebar, ga Stores > Settings>Configuration.
-
Schuif omlaag en vouw Advanced uit in het linkerdeelvenster.
-
Klik op Admin.
-
Breid uit de sectie van de Veiligheid.
-
Voer bij Admin Session Lifetime (seconds) het aantal seconden in dat een sessie actief blijft voordat deze wordt beëindigd.
{width="600" modal="regular"}
-
Klik op Save Config als de bewerking is voltooid.