grafjo
commented
1 month ago Hi @ZSItec
wenn die Session länger läuft als bei deinem IDP, kannst du über Spring Boardmittel die Sessionlaufzeit reduzieren - z.B. server.servlet.session.timeout: 30m auf 30 Minuten
Describe the bug Wenn man sich nach einem Wochenende mit der Zeiterfassung verbindet ist der Session Token immer noch valide obwohl der OIDC Session Token schon lange abgelaufen ist. Damit kann man sich anmelden obwohl man potentiell ein deaktivierter Benutzer ist. Der Session Token von der Zeiterfassung scheint gar nicht abzulaufen.
Expected behavior Ich würde erwarten, dass sich die Zeiterfassung im Backend regelmäßig beim OIDC Provider erkundet ob die Tokens noch valide sind um so eine Situation zu unterbinden. Alternativ sollte der Session Token der Zeiterfassung nur eine begrenzte Lebenszeit haben.
Version 2.6.2 Das Problem tritt seit einem Update auf. Leider kann ich nicht genau spezifizieren ab welcher Version dieses Problem existiert.