amazon-web-services - 应用程序负载均衡器 session cookie 的过期时间非常高

Question

这听起来像是一个非常微不足道的疑问，但我在这里需要一些帮助。

我已经使用 OIDC 身份验证设置了应用程序负载平衡器。登录我的应用程序后，我使用 chrome 开发人员工具查看了客户端应用程序 cookie。发现 AWSELBAuthSessionCookie-0 和 AWSELBAuthSessionCookie-1 的到期时间为 2070-10-04T05:02:12.122Z，距现在将近 50 年。由于 ALB 没有将此 cookie 转发到我位于 ALB 后面的应用程序 (EC2)，因此我无法重置 cookie 的过期时间。我正在使用 Flask 读取标题。任何减少 AWSELBAuthSessionCookie 到期时间的线索都会有所帮助。

Answer 1

已经是一个很老的问题了，但这是我的 2 美分:

使 cookie 无效在某种程度上只是一个带有过期日期的 set-cookie，所以我认为您不需要能够从请求中读取 cookie 来使其无效。我没有尝试过，但我会做类似的事情Set-Cookie "AWSELBAuthSessionCookie-0=deleted;path=/;expires=Thu, 01 Jan 1970 00:00:00 GMT;"

对于第二点(来自@codematix)，要注销，您需要使身份验证 cookie 无效，并将用户重定向到 IDP 中配置的注销页面(可能也会使 token 无效，否则 ALB 只会重新验证 token 并重新验证)创建 session )。见 https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-authenticate-users.html#authentication-logout-timeout
我认为您在此处将 ALB session (如果我没记错的话 JSESSIONID cookie)与 auth session cookie 混淆了。

再一次，我没有时间验证这一点，但希望有所帮助:)