工作階段配置
工作階段配置定義了租戶層級的控制,決定 Logto 登入工作階段的持續時間以及如何執行與工作階段相關的存取政策。
本頁內容包括:
- 工作階段 TTL 配置
- 每個應用程式的最大同時驗證裝置數
工作階段 TTL 配置
工作階段 TTL 決定了 Logto OIDC 登入工作階段的最長壽命。 這是一個 租戶層級的設定:一旦配置,將適用於該租戶中的所有應用程式和驗證流程。
預設行為
- 預設情況下,工作階段 TTL 為 14 天。
- 如果未配置自訂 TTL,Logto 將繼續使用此預設值。
通過 Logto Console 配置
你可以在 Console 中配置工作階段 TTL:
Console > Tenant > Settings > OIDC settings使用 Session maximum time to live 來更新值。
Console 使用 天 作為輸入和顯示單位,而底層的 OIDC 工作階段配置 / API 使用 秒。
通過 Management API 配置
使用以下端點來讀取和更新 OIDC 工作階段配置:
GET /api/configs/oidc/sessionPATCH /api/configs/oidc/session
範例(ttl 以秒為單位):
curl https://[tenant-id].logto.app/api/configs/oidc/session \
-H 'authorization: Bearer <management_api_access_token>'
curl -X PATCH https://[tenant-id].logto.app/api/configs/oidc/session \
-H 'authorization: Bearer <management_api_access_token>' \
-H 'content-type: application/json' \
--data-raw '{"ttl":1209600}'
1209600 秒 = 14 天。
對於 OSS 部署,修改 logto-config 後需重啟服務實例,以便伺服器能夠獲取最新的 OIDC 設定。
若要在不重啟服務的情況下自動應用 OIDC 配置更新,請啟用中央 redis 快取。
每個應用程式的最大同時驗證裝置數
每個應用程式的最大同時驗證裝置數是一個應用程式層級的控制,限制每個使用者對特定應用程式可以保持的活動授權數量。
這是通過應用程式 customClientMetadata 中的 maxAllowedGrants 欄位配置的。
了解更多請參閱 應用程式資料結構。
行為
當設置 maxAllowedGrants 時,Logto 會在每次成功授權時評估使用者對當前應用程式的活動授權。
如果活動授權數量超過限制,Logto 會優先撤銷最早的授權。
如果未設置 maxAllowedGrants,則無並發限制。
通過 Logto Console 配置
你可以在每個應用程式的詳細資訊頁面中配置此項:
Console > Applications > Application details > Concurrent device limit
設置每個使用者對當前應用程式的最大同時活動授權(裝置)數量。
此設置不支援機器對機器應用程式、受保護應用程式和 SAML 應用程式。
相關資源
工作階段 管理使用者工作階段 管理使用者授權的應用程式(授權)應用程式資料結構:maxAllowedGrants
與 Management API 互動