Bug #9637
sessions qui ne se ferment pas avec le navigo
100%
Description
Avec #8877 on a réussi à mettre SESSION_EXPIRE_AT_BROWSER_CLOSE dans la config de toutes nos applications. Ça n'a pas d'effet.
Scénario :
- je vais sur combo
- je lance un SSO
- authentic voit SESSION_EXPIRE_AT_BROWSER_CLOSE, le cookie session_id est posé sans date d'expiration (→ à la fermeture du navigo)
- django-mellon voit un sessionNotOnOrAfter, fait un request.session.set_expiry() → le cookie est posé avec cette date d'expiration
- je ferme mon navigo
- je réouvre mon navigo
- ma session authentic est terminée mais ma session dans combo est intacte
Sous-tâches
Demandes liées
Historique
Mis à jour par Thomas Noël il y a plus de 8 ans
au cas où : c'est le request.session.set_expiry() qui annule le SESSION_EXPIRE_AT_BROWSER_CLOSE, tel que précisé par la doc django
Mis à jour par Benjamin Dauvergne il y a environ 8 ans
Je crois qu'on est arrivé à la conclusion que ça ne pourrait plus marcher ainsi, si c'est ok je réouvre #8877 pour virer SESSION_EXPIRE_AT_BROWSER_CLOSE de debian_config_common.py et je rejette celui-ci.
Mis à jour par Benjamin Dauvergne il y a plus de 6 ans
J'ai résolu le souci coté SP avec de nouveaux backends de session, mais de fait on les a jamais inclus dans debian_config_common.py, faudrait y repenser.
Actuellement l'expiration des session est a 10h + dernière date de sauvegarde de la session (dernière modif) pour IdP et SP. Utiliser les backends de session de django-mellon fixerait l'expiration sur les SPs à 10h + date du dernier SSO.
Mis à jour par Benjamin Dauvergne il y a plus de 3 ans
- Lié à Development #19243: afin d'appliquer la restriction de durée des sessions présente dans les assertions SAML, utiliser mellon.sessions_backends.db ajouté
Mis à jour par Benjamin Dauvergne il y a plus de 3 ans
- Statut changé de Nouveau à Fermé
- Planning mis à Non
- Club mis à Non
Réglé par #19243.