Saltar al contenido

Sesiones

Todas las interacciones con App Builder ocurren dentro del contexto de una sesión. Una sesión se crea cuando un usuario visita por primera vez App Builder las solicitudes posteriores del mismo usuario se asocian con la sesión.

Si desea establecer un tiempo de espera en función de la inactividad del usuario por motivos de seguridad, puede hacerlo estableciendo un valor de vencimiento de autenticación. Consulte la sección Autenticación + Tiempo de espera de sesión de este artículo para obtener más información.

Seguimiento

App Builder realiza un seguimiento de las sesiones asignando a cada navegador individual un identificador único. El identificador se almacena en una cookie en la memoria. Por lo tanto, cerrar (todas las instancias de) el navegador finaliza efectivamente la sesión. La cookie está marcada como HttpOnly. Si el navegador está conectado al servidor mediante HTTPS, la cookie también está marcada como Segura.

Para lograr la máxima compatibilidad entre las implementaciones de proveedores de datos, el identificador de sesión toma la forma de UUID. Específicamente, es un UUID de la versión 4, generados mediante un generador de números criptográficamente aleatorios. Los UUID están compuestos por 128 bits. Sin embargo, se reservan 6 bits para identificar la versión. Esto proporciona un total de 122 bits de aleatoriedad, que deberían ser lo suficientemente largos como para que no se puedan adivinar.

Desarrollo

Los desarrolladores pueden acceder al identificador de sesión actual mediante session() Función mvSQL. Está disponible independientemente de si un evento se ejecuta en primer plano o en segundo plano. Sin embargo, tenga en cuenta que a los eventos programados se les asigna un identificador de sesión transitorio. El identificador de sesión transitorio no está asociado con una sesión de usuario y cambia cada vez que se ejecuta el evento programado.

Los identificadores de sesión se pueden almacenar en columnas de tipo "ID único".

Autenticación + Tiempo de espera de sesión

Las sesiones en sí no expirarán. Sin embargo, los administradores de seguridad pueden establecer la expiración de la autenticación, lo que proporciona control sobre el tiempo de espera de la sesión. La expiración de la autenticación define la duración de los tokens de seguridad. Cuando un usuario inicia sesión, se le otorga un token de seguridad. El token de seguridad en sí tiene una duración con una ventana deslizante: App Builder emitirá un nuevo token si el usuario interactúa con App Builder más de la mitad de la ventana de vencimiento.

De manera predeterminada, el token de seguridad tiene una vida útil de 2 semanas. Para configurar el vencimiento de la autenticación:

  1. Inicie sesión App Builder como administrador.
  2. Vaya al IDE.
  3. Haga clic en el botón Proveedores de seguridad.
  4. En el panel Configuración, haga clic en el botón Editar.
  5. Proporcione un valor para la Caducidad de autenticación.

    • La duración del token de seguridad se mide en minutos.
  6. Haga clic en el botón Guardar.

Nota

La duración del token de seguridad solo se aplica a los tokens de seguridad recién emitidos.

Cómo configurar sesiones

De manera predeterminada, App Builder conserva la información de la sesión en la base de datos. Los administradores pueden ver las sesiones y cerrar sesión de los usuarios de forma forzosa. El seguimiento de las sesiones protege contra ciertas vulnerabilidades, como los ataques de repetición de cookies. Este artículo describe las políticas de almacenamiento de sesiones configurables.

Para configurar sesiones

  1. Vaya al IDE
  2. En el panel Conectar, haga clic en el botón Proveedores de seguridad
  3. Las siguientes opciones se pueden encontrar en el panel Configuración en Sesiones:

    • Almacenamiento de sesiones = Determina cuándo se almacenan las sesiones. Opciones:

      • Autenticado = Almacena solo sesiones autenticadas.
      • No persistente = Las sesiones no se almacenan. Coincide con el comportamiento heredado.
      • Persistente = Almacena todas las sesiones anónimas y autenticadas.
      • Cerrar sesión = Almacena solo las sesiones cerradas.
    • Caducidad anónima = Valor numérico (segundos) que determina durante cuánto tiempo se almacenan las sesiones anónimas.

    • Máximo de sesiones simultáneas = Valor numérico (recuento) que especifica el número máximo de sesiones simultáneas que un usuario puede tener a la vez.

Para administrar sesiones

  1. Vaya al IDE
  2. En el panel de tiempo de ejecución, haga clic en el botón Administración de usuarios
  3. En el panel Usuarios, haga clic en el botón Más y seleccione Sesiones
  4. Desde aquí, puede ver las sesiones existentes, cerrar sesiones individuales o borrar todas las sesiones (incluida la suya).

    sessions.png