From 8271ee981f41b1442d5c9c1d7b1ed2fc639c10b3 Mon Sep 17 00:00:00 2001 From: Moritz Bunkus Date: Fri, 27 Nov 2020 10:44:56 +0100 Subject: [PATCH] =?utf8?q?HTTP-Header:=20Lebenszeit=20f=C3=BCr=20Session-I?= =?utf8?q?D-Cookie=20setzen?= MIME-Version: 1.0 Content-Type: text/plain; charset=utf8 Content-Transfer-Encoding: 8bit Wenn ein Cookie kein Ablaufdatum gesetzt hat, so soll der Browser das Cookie beim Beenden löschen. Damit ist es de facto unmöglich, ein Session-Timeout anzugeben, das groß genug ist, damit man auch am folgenden Arbeitstag noch eingeloggt ist (z.B. 24 Stunden). `SL::Auth` berücksichtigt die Session-ID-Gültigkeit natürlich selber schon, ist also die maßgebliche Instanz bzgl. der Gültigkeit, egal wie lange der Browser das Cookie nun mitschickt. Aber wenn der Browser das Cookie gar nicht mehr schickt, weil er zwischendurch geschlossen wurde, kann `SL::Auth` auch nichts mehr machen. --- SL/Form.pm | 1 + 1 file changed, 1 insertion(+) diff --git a/SL/Form.pm b/SL/Form.pm index 92d32e76f..46c52cb91 100644 --- a/SL/Form.pm +++ b/SL/Form.pm @@ -385,6 +385,7 @@ sub create_http_response { $session_cookie = $cgi->cookie('-name' => $main::auth->get_session_cookie_name(), '-value' => $session_cookie_value, '-path' => $uri->path, + '-expire' => '+' . ($::lx_office_conf{authentication}->{session_timeout} // 60) . 'm', '-secure' => $::request->is_https); } } -- 2.20.1