パスワードをリセットするか、ユーザー管理でアプリ キーを明示的にクリアしても、ユーザーによるアプリケーション アクセスを取り消すことができません。後者の方法では、アクセスが取り消されたことを示す応答が返されますが、ユーザーがツールにアクセスしたときに、情報へのアクセスを承認するように再度求められることはありません。
1 に答える
2
ここにはいくつかの可能性があります:
宣言されたキーの失効と、データベースを通過して実際にそれらをクリーンアップするクリーンアップ タスクとの間に遅延が生じる可能性があります。ある時点で、このような遅延が存在し、特定され、サービス パックとその後のリリースによって修正されたと思います。したがって、バックエンド サービスが利用可能なサービス パックで最新であることを確認することで、この問題に対処できます。
取り消されているのはキーであり、キーを再構築するための認証が必要である可能性がありますが、アクセス許可を求めるユーザーに表示される確認手順ではありません(ユーザーが一度認証され、「プロンプトを表示しない」をチェックしたと仮定します)。もう一度許可を求める」)ダイアログ。
クライアント アプリケーションによるユーザー トークンの要求が実際にトークンを取得するかどうかを確認できますか? それとも、認証ステップがクライアントのアクセス確認の通知なしで行われるだけですか?
再認証が静かに行われるように見える場合があることに注意してください。クライアント アプリケーションのユーザー トークンのリクエストが、ユーザーのブラウザー コンテキストを介して発生し、ユーザーが既に LMS にログインしていることをバックエンド サービスが判断できる場合、トークンのリクエストは自動的に成功する可能性があります。
ユーザーは、アクティブな Web セッションを持つために既に認証されていると想定されるため、ID を再確認するためにユーザー名/パスワード (または LMS が使用するユーザー認証ステップ) を再収集する必要はありません。
ユーザーはすでにアプリケーションへのアクセスを確認しており、「今後は確認しないでください」で確認手順を閉じている可能性があります。ユーザーが「今後確認しない」でアクセスを確認した場合、パスワードの変更や管理者によるアクセスの取り消しによってユーザー トークンの有効期限が切れた場合でも、この選択は記憶されます。
ユーザーを LMS セッションから明示的にログアウトしてからクライアント アプリをテストすると、再認証手順が実際に行われているかどうかが視覚的に示されます (ユーザーのブラウザーは、ログイン プロセスにリダイレクトされます)。 -サービス終了)。
管理者によるユーザー パスワードの変更またはアクセスの取り消しにより、アプリケーションに関連付けられた記録済みのユーザー ID/キーのペアを削除できますが、「今後確認しない」で却下された確認フォームの記録は削除されないことに注意してください。現在、私たちのシステムはその確認状態をリセットする方法を公開していません。
これらの点を考慮してもまだ問題があると思われる場合は、組織の承認されたサポート連絡先、またはアカウントまたはパートナー マネージャーを通じてサポート インシデントを開くことをお勧めします。Desire2Learn は、セキュリティ関連のレポートを非常に真剣に受け止めています。まだ対処されていない問題を発見した場合は、欠陥として報告することをお勧めします。
于 2013-08-16T23:23:26.183 に答える