Vista General

Las aplicaciones modernas de Drupal suelen depender de proveedores de identidad OAuth 2.0 para una autenticación centralizada. Si bien este enfoque refuerza la autenticación, puede generar una brecha en la gestión de las sesiones de usuario dentro de Drupal.

La autenticación se puede delegar al proveedor de identidad, pero la aplicación de la sesión permanece dentro de Drupal, lo que crea una separación entre la validez del token y la duración de la sesión.

La solución introduce un cierto nivel de personalización que funciona de forma nativa en Drupal. El resultado es un control de acceso consistente, una menor exposición a la seguridad y un comportamiento de sesión que refleja fielmente las políticas de autorización de OAuth.

Requisitos previos:

En esta sección, discutiremos todo, desde los requisitos y el proceso de implementación hasta los resultados.

Módulo de cliente OAuth

Descargar módulo

Primaria

Cuando un sitio Drupal utiliza OAuth para la autenticación, se espera que las decisiones de acceso se basen en la validez del token OAuth. En teoría, una vez que el token expira, el acceso debería finalizar inmediatamente. En la práctica, esto no siempre ocurre.

Las sesiones de Drupal suelen continuar incluso después de que el token OAuth asociado haya expirado. Dado que la gestión de sesiones y la validación de tokens funcionan por separado, no existe un mecanismo integrado para finalizar automáticamente una sesión activa de Drupal cuando el token deja de ser válido.

Impacto

• Esta desconexión crea una grave brecha en el control de acceso. Los usuarios pueden conservar el acceso más allá del plazo de autorización previsto. Los tokens caducados no activan el cierre de la sesión de forma fiable. No existe un punto de control centralizado que garantice que la duración de la sesión coincida estrictamente con la del token.
• Con esto, como administrador, podrás:
• Sincronice la duración de la sesión de Drupal con la expiración del token OAuth.
• Seleccione el parámetro exacto de vencimiento del token del proveedor de identidad que desea utilizar
• Decide exactamente qué sucede en Drupal cuando expira el token
• Con esta configuración, Drupal deja de gestionar la autenticación y la gestión de sesiones por separado; funcionan juntas, tal como deberían.

Implementación

Al iniciar sesión, el proveedor de identidad OAuth proporciona un token de acceso con su propia fecha de caducidad. El módulo obtiene ese valor de caducidad del token y lo utiliza para determinar la duración de su sesión de Drupal.

• Una vez que activa la sincronización, esto es lo que sucede:
• Drupal hace coincidir la duración de su sesión con la validez del token OAuth.
• Sigue verificando si el token sigue siendo válido mientras estás conectado.
• En el momento en que expira el token, Drupal sigue la acción que hayas configurado.
• Como administrador, tienes un par de opciones:
• Puedes elegir expulsar a los usuarios justo cuando expira el token.
• O bien, puedes intentar automatizar el proceso y hacer que Drupal intente renovar el token con un token de actualización. Aviso: Esto depende de tu proveedor de identidad.
• Todo esto se ejecuta por sí solo; no se necesita código adicional ni programadores externos. Drupal se encarga de todo.

Beneficios

• Sincronización entre la validez del token OAuth y las sesiones de Drupal.
• Eliminación de sesiones de usuario obsoletas o no administradas.
• Consistencia del control de acceso mejorada.
• Riesgo de seguridad reducido por tokens vencidos.

Conclusión

La gestión de sesiones con sincronización de expiración de tokens permite a Drupal aplicar el control de acceso, específicamente la revocación de acceso, según la validez del token OAuth. El objetivo del token OAuth es tener algo presente que te permita acceder a algo. Es lógico que, una vez que el token expire, el acceso también se revoque.