Expiration de la session

Après une période d'inactivité définie, les sessions utilisateur sont automatiquement déconnectées lorsque le délai d'attente de session est activé. Cela s'applique aux utilisateurs qui se sont connectés à HCL Commerce, et non aux sessions invité. Les paramètres de délai de session peuvent être modifiés selon les exigences de sécurité de votre site. Le délai d'attente de session ne s'applique pas aux requêtes mises en cache et contourne le code de gestion de session HCL Commerce.

Il existe deux mécanismes pour le délai d'attente de session dans HCL Commerce :

  1. Délai d'attente basé sur les cookies : l'expiration de la session est intégrée au cookie WC_USERACTIVITY.
  2. Délai d'attente basé sur l'activité : lorsque les cookies ne sont pas utilisés, l'activité du service de contexte métier, conservée dans la table CTXMGMT, est utilisée pour déterminer si la session est expirée.

    Lorsque des API REST sont réalisées avec WCToken et WCTrustedToken, ou lorsque vous utilisez Management Center for HCL Commerce qui n'utilise pas le cookie WC_USERACTIVITY constituent des exemples d'utilisation.

Lorsqu'une session utilisateur arrive à expiration et que l'utilisateur avait précédemment choisi d'être gardé en mémoire, la session devient une session partiellement authentifiée au lieu d'une session utilisateur générique. Dans ces circonstances, l'utilisateur peut donner suite à sa requête si cette API est configurée pour être accessible par des utilisateurs partiellement authentifiés.

Lorsque des requêtes sont effectuées à l'aide de la structure Spring, les vues Spring suivantes sont utilisées :

ReLogonFormView : L'utilisateur est envoyé à cette vue si la session expire et qu'il n'est pas mémorisé.

RememberMeLogonFormView : L'utilisateur est renvoyé vers cette vue s'il s'agit d'un utilisateur partiellement authentifié et qu'il n'est pas autorisé de tenter d'accéder à une API par le biais d'un utilisateur partiellement authentifié.

Référence