Elevated Session
Categories:
Elevated Session (Повышенная сессия) — это механизм безопасности в Authelia, который требует дополнительной проверки личности пользователя при выполнении критически важных действий, связанных с безопасностью аккаунта. Это предотвращает несанкционированные изменения, даже если злоумышленник получил доступ к сессии пользователя.
Как это работает?
Пользователь пытается выполнить важное действие, например:
- Смена пароля
- Настройка 2FA (TOTP, WebAuthn)
- Изменение email или других персональных данных
- Доступ к критическим разделам
Authelia запрашивает повторную аутентификацию:
- Ввод пароля
- Подтверждение через 2FA (если включено)
- Проверка биометрии (для WebAuthn)
Создается “повышенная сессия” на ограниченное время (по умолчанию — 5 минут), в течение которой пользователь может выполнять защищенные действия.
Конфигурация
identity_validation:
elevated_session:
code_lifespan: '5 minutes'
elevation_lifespan: '10 minutes'
characters: 8
require_second_factor: false
skip_second_factor: false
Опции
code_lifespan
Срок действия случайно сгенерированного одноразового кода, после которого он считается недействительным
elevation_lifespan
Время жизни возвышения после первоначальной проверки одноразового кода до истечения срока его действия.
characters
Количество символов в случайном одноразовом коде. Максимальное значение на данный момент составляет 20, но мы рекомендуем держать его в диапазоне от 8 до 12. Уменьшать значение ниже 8 крайне не рекомендуется.
require_second_factor
Требуется аутентификация по второму фактору для всех защищенных действий в дополнение к повышенному сеансу, если пользователь настроил метод аутентификации по второму фактору.
skip_second_factor
Пропускает требование повышенной сессии, если пользователь выполнил аутентификацию по второму фактору. Можно комбинировать с параметром require_second_factor, чтобы всегда (и только) требовать аутентификацию по второму фактору.