한동안 안 풀리더니 이번 1.8.32 업데이트 이후로 또 풀리기 시작하는거 같네요

 

뭔가 관련이 있나요?

  • profile

    www 붙은 도메인과 그렇지 않은 도메인, http 사이트와 https 사이트 사이에서 리다이렉션할 때 서버 설정(.htaccess)을 통하지 않고 애드온이나 서드파티 모듈 등에 의존하면 라이믹스의 세션 보안 강화 기능에 걸려서 로그인이 풀릴 수 있습니다. 애드온이 실행되기 전에 세션 체크가 먼저 이루어지거든요.

     

    현재 개발 진행중인 멀티도메인 기능이 완성되어서 도메인 리다이렉션까지 코어에서 직접 처리해 줄 수 있게 될 때까지는 이 부분을 주의하셔야 합니다. 계속 문제가 있다면 당분간 "세션 키"와 "SSL 전용 세션"을 꺼놓으시기 바랍니다.

     

    1.8.30~1.8.32 사이에 세션과 관련하여 크게 변경된 것은 없습니다. 자동 로그인 기능의 보안을 강화하기 위해 암호화 기법을 변경하긴 했는데, 이건 사용자들의 불편을 최소화하기 위해 3월 15일부터 적용되도록 타이머가 걸려 있어요. 그 전에 한 번이라도 방문하면 자동 로그인도 풀리지 않도록 해두었습니다.

  • profile ?
    www는 애드온을 사용하고 있긴 한데 일단 접속하는 주소를 www 제외한 주소로 직접 접속하고 있고, https는 htaccess에서 리다이렉트 처리하도록 되어 있습니다.

    보니까 주로 브라우저를 껐다가 다시 켜면 로그인이 풀리는 것 같습니다. 1.8.31까지는 안 그랬던거 같은데 1.8.32 적용하고 나니까 이러네요
  • ? profile
    증상을 확인했습니다. 원인은 좀더 찾아봐야 할 것 같네요.
  • ? profile

    아, 로그인이 풀리는 것이 아니라 자동로그인이 풀리는 것이었군요. 차이가 큽니다 ㅜ.ㅜ

    https://github.com/rhymix/rhymix/commit/34c11c4344da4a46ece299a14910dfef846b1ea9
    develop 브랜치에서 패치되었습니다.

  • profile ?
    아참 그렇네요. 제가 깜빡하고 빼먹었네요 ㅠㅠ

    감사합니다
  • profile ?
    소셜로그인인데 여전히 브라우저를 껐다가 켜면 높은 확률로 로그아웃되어 있습니다. (안 될 때도 있긴 한데, 무슨 조건인지는 모르겠네요.)

    소셜로그인 설정에 로그인 유지는 켜 놓은 상태입니다.

    이 역시 예전에는 브라우저를 아무리 껐다가 켜거나 재부팅하거나 해도 로그아웃되지 않았는데 최근 들어 이러네요..
  • ? profile

    소셜로그인 이후에 돌아오는 주소가 https 있고 www 없는 정확한 주소가 맞나요? 이게 정확하지 않아서 로그인이 풀리는 사례가 보고된 바 있습니다.

  • profile ?
    네. 정확하게 되어 있습니다. 또한 이전까지는 아무 문제 없었구요
  • ? profile

    원인을 찾았습니다. 두 번째 방문할 때는 괜찮은데 세 번째 방문할 때 로그인이 풀리네요.

    develop 브랜치 업데이트해 주세요.

  • profile ?
    감사합니다. 이젠 잘 되네요