問題
- CSRFトークンパラメータ「p_auth」の桁数を変更できますか?
環境
- DXP 7.0+
解決
-
当該パラメータの桁数は以下のプロパティ(auth.token.length)で制御されており、変更が可能です。
ただし、プロパティの説明にある通り、トークンが長くなるとパフォーマンス影響が起きる可能性があります。
https://github.com/liferay/liferay-portal/blob/master/portal-impl/src/portal.properties#L3744-L3750 -
本パラメータはあくまでも認可トークンであり、認証状態でないと機能しません。
セッションが切れる際や、ユーザがログアウトする際は、トークンが無効になります。
また、過去のトークンを再利用しようとすると、認証エラーが発生します。
認証後にしか機能しないパラメータである為、デフォルト設定でもセキュリティ上は特に影響しない認識です。