Regelmäßig vorzeitiges Session-Timeout im Backend

[Joern]

Hallo,

bei mir tritt ständig das Problem auf, daß ich vorzeitig aus dem Backend ausgeloggt bin und mich wieder erneut einloggen muß. Dies tritt insbesondere auf, wenn ich einige Minuten nicht im Backend aktiv bin. Da ich dabei bin, mich in Contao einzuarbeiten, trifft dies häufiger zu. Im Frontend bin ich nicht eingeloggt.
Die "Verfallszeit einer Session" habe ich schon von einer Stunde auf 10 Stunden erhöht und auch mit anderen Werten experimentiert, aber es hat keine Änderung gebracht. Ich wäre ja schon froh, wenn ich die eine Stunde erreichen würde.

Vereinzelt erhalte ich beim erneuten Einloggen auch die Fehlermeldung "Ungültiges Anfrage-Token, ... Das Request-Token konnte nicht validiert werden." und muß mich dann noch ein zweites Mal einloggen.

Ich habe mehrere voneinander unabhängige Contao Testinstallationen auf dem Server, es tritt bei allen auf, sowohl unter Contao 4.4.26 als auch 4.6.5. Es sind entweder keine Erweiterungen installiert oder nur ChangeLanguage. Der Zugriff erfolgt normalerweise über Google Chrome, aber auch unter Mozilla habe ich am selben Rechner beobachtet, daß ich vorzeitig ausgeloggt bin.

Hat jemand eine Idee, woran dieses Problem liegen könnte und wie es sich lösen läßt?

Jörn

[Ainschy]

Kommen diese "Zwangslogouts" auch wenn in den System Einstellungen die Anfrage-Tokens deaktiviert sind?

[Kahmoon]

Damals konnte man sowas umgehen wenn man die IP Prüfung in den Einstellungen deaktiviert hat. Weiss gar nicht obs das in Contao 4 noch gibt.

[Joern]

Kommen diese "Zwangslogouts" auch wenn in den System Einstellungen die Anfrage-Tokens deaktiviert sind?

Diesen Versuch hatte ich noch nicht gewagt, weil mir das bezüglich der Sicherheit nicht gefällt.

Ich habe jetzt bei einer Installation die Anfrage-Tokens probeweise deaktiviert und werde es beobachten.

Damals konnte man sowas umgehen wenn man die IP Prüfung in den Einstellungen deaktiviert hat. Weiss gar nicht obs das in Contao 4 noch gibt.

Bei meiner Suche bin ich auch auf den Hinweis gestoßen, die IP Prüfung zu deaktivieren. Aber ich habe diese Einstellmöglichkeit in meinen Installationen nirgends gefunden. Ansonsten würde mir dies besser gefallen als die Anfrage-Tokens zu deaktivieren.

[xchs]

Die diesbezügliche Konfiguration erfolgt in der app/config/config.yml (sollte dieses YAML-File noch nicht existieren, muss es selbst erstellt werden):

Code:

contao:
    security:
        disable_ip_check: true

Damit die Änderung wirksam wird, muss anschließend der Symfony Cache var/cache gelöscht werden (per Contao Manager, per Konsole oder per Hand).

Es ist aber nicht unbedingt empfehlenswert, den IP-Check dauerhaft zu deaktivieren. Besser wäre jedenfalls, die Ursache des Problems zu identifizieren und ggf. zu beseitigen. Gibt es vielleicht irgendeinen zwischengeschalteten Proxy? Erfolgt der Zugriff über ein Mobilfunknetz?

[Joern]

Ich habe jetzt bei einer Installation die Anfrage-Tokens probeweise deaktiviert und werde es beobachten.

Das deaktivieren des Anfrage-Tokens hat keine Besserung gebracht. Ich bin nach einer Pause genauso aus dem Backend rausgeflogen wie bei den anderen Installationen.

Die diesbezügliche Konfiguration erfolgt in der app/config/config.yml (sollte dieses YAML-File noch nicht existieren, muss es selbst erstellt werden):

Code:

contao:
    security:
        disable_ip_check: true

Damit die Änderung wirksam wird, muss anschließend der Symfony Cache var/cache gelöscht werden (per Contao Manager, per Konsole oder per Hand).

Es ist aber nicht unbedingt empfehlenswert, den IP-Check dauerhaft zu deaktivieren. Besser wäre jedenfalls, die Ursache des Problems zu identifizieren und ggf. zu beseitigen.

Vielen Dank für den Hinweis, wo die Einstellungen sind. Das werde ich jetzt ausprobieren. Als dauerhafte Lösung sehe ich es auch nicht, den IP-Check ausgeschaltet zu lassen. Aber es ist ein guter Punkt, das Problem weiter einzukreisen.

Gibt es vielleicht irgendeinen zwischengeschalteten Proxy? Erfolgt der Zugriff über ein Mobilfunknetz?

Einen zwischengeschalteten Proxy gibt es hier nicht. Was der Internet-Provider im Hintergrund macht, weiß ich allerdings nicht genau.

Der Zugriff erfolgt nicht über ein Mobilfunknetz. Ich bin hier per TV-Kabel online, wo sich die IP nach meinen zurückliegenden Beobachtungen nur selten (nach Wochen) ändert. Ich werde aber jetzt zusätzlich meine aktuelle IP-Adresse notieren und das mit beobachten.

[Joern]

Bin gerade wieder rausgeflogen, auch bei der Installation, wo ich den IP-Check deaktiviert habe. Die IP-Adresse hat sich nicht geändert. Meine ssh-Verbindung zum Server ist (wie sonst auch) bestehen geblieben, die bricht bei IP-Wechsel sofort ab. Muß mich bei allen Contao-Installationen neu einloggen, wo ich ein Weilchen inaktiv war. Nur bei einer Installation (hier ist sowohl der IP-Check aktiv, auch sind die Anfrage-Token aktiviert) bin ich (noch) nicht rausgeflogen, dort habe ich aber auch länger aktiv gearbeitet.

Anscheinend muß sich der Fehler an anderer Stelle verstecken.

Interessantes Detail am Rande: Wenn ich im Backend rausfliege, steht bei Contao 4.4.26 im System-Log der Eintrag "User "xyz" has logged out". Bei Contao 4.6.5 fehlt dieser Eintrag, der Effekt ist jedoch gleich.

[tab]

Vielleicht doch irgendein Reverse-Proxy dazwischen? Load Balancer, CDN, ...

[Joern]

Vielleicht doch irgendein Reverse-Proxy dazwischen? Load Balancer, CDN, ...

Die Seiten liegen auf einem vServer, da läuft kein Reverse-Proxy, Load Balancer oder CDN.

Die Zeiten, bis ich mich wieder neu im Backend anmelden muß, liegen regelmäßig unter 60 Minuten. Anscheinend "rettet" mich nur ständig im Backend aktiv zu sein ohne längere Unterbrechungen.

[xchs]

Wie sehen denn die PHP Session Einstellungen im Detail aus? Siehe auch: https://github.com/contao/core-bundle/issues/1428

[Joern]

Wie sehen denn die PHP Session Einstellungen im Detail aus? Siehe auch: https://github.com/contao/core-bundle/issues/1428

Habe mir das bei Github durchgelesen, könnte passen, nur leider gab es da bisher auch keine Lösung.

An den PHP Session Einstellungen habe ich nichts geändert.
Im nachfolgenden Bild sind die PHP Session Einstellungen vom Server zu sehen: php-session-settings.png

[tab]

Ist bei mir tatsächlich auch so. Fällt mir normalerweise nicht auf, weil ich mich bei längeren Pausen meist eh abmelde. Aber ich habe es jetzt gerade mal in einer 4.6.5 absichtlich probiert. Einfach mal eine halbe Stunde nichts gemacht im Backend und ich war ausgeloggt.

[xchs]

Könntet ihr das vielleicht auch im oben verlinkten Ticket kurz erwähnen?

[tab]

Ich mache erst noch mal ein paar Versuche mit verschiedenen Idle-Zeiten, um herauszufinden, ob das ein festes Zeitintervall seit der letzten Aktivität ist oder seit dem Login ins Backend.

[Joern]

Ich mache erst noch mal ein paar Versuche mit verschiedenen Idle-Zeiten, um herauszufinden, ob das ein festes Zeitintervall seit der letzten Aktivität ist oder seit dem Login ins Backend.

Mein Eindruck ist, das es mit der Idle-Zeit zusammenhängt. Denn in der Contao-Installation, in der ich aktiv war, wurde ich nicht ausgeloggt, während ich bei allen anderen ausgeloggt war. Eingeloggt hatte ich mich bei allen zur gleichen Zeit. Ich werde das jetzt auch mal messen mit verschiedenen Zeitintervallen, um etwas belastbare Daten zu haben für den Eintrag bei Github.

[Joern]

Bei mir tritt der Effekt anscheinend nach gut 30 Minuten Idle auf. Nach 35 Minuten Idle muß ich mich definitiv neu einloggen, bei bis zu 30 Minuten Idle konnte ich weiterarbeiten. Im Bereich zwischen 30 und 35 Minuten war es mal so, mal so, wobei ich es nicht auf die Sekunde genau messen konnte. Der Zeitraum seit dem Login ins Backend spielt keine Rolle.

Werde das dann mal bei Github unter https://github.com/contao/core-bundle/issues/1428 melden.

[Joern]

Der Übeltäter für das auf ungefähr 30 Minuten beschränkte Idle-Timeout scheint gefunden. In der php.ini steht bei mir folgender Wert als default:

Code:

session.gc_maxlifetime = 1440

Nachdem ich diesen Eintrag auf 7200 (Sekunden) geändert habe, war ich auch nach zwei Stunden Idle noch eingeloggt. Nach drei Stunden Idle war die Session dann erwartungsgemäß abgelaufen und ich mußte mich erneut einloggen.

[tab]

Ja, das ist der Defaultwert, steht bei mir auch so. Dann kann ich mir die Versuche heute abend wohl sparen. Allerdings hatte ich Andreas Schempp so verstanden, dass das nur bei Contao ab 4.5 Bedeutung haben sollte. War das deine 4.6 oder die 4.4? "gc" ist der garbage collector. Der räumt die Session-Daten frühestens nach der in Sekunden angegebenen Zeit weg. Dass die Zeit nicht genau ist, liegt wohl daran, dass da noch eine Wahrscheinlichkeit für das Löschen der Session-Daten eingebaut ist, warum auch immer...

Edit: Wie ich auf Github gesehen habe, greift das wohl auch bei Contao 4.4.

[Joern]

... War das deine 4.6 oder die 4.4?
Edit: Wie ich auf Github gesehen habe, greift das wohl auch bei Contao 4.4.

Tritt bei mir sowohl bei Contao 4.4.26 also auch 4.6.6 auf, da bemerke ich keine Unterschiede zwischen diesen beiden Versionen.

[Anke]

Hallo Leute,

verstehe ich das auf Github alles richtig, dass es keine Möglichkeit mehr gibt, die Dauer von BE-Sitzungen selbst einzustellen? Ich bin dabei, eine 5.1-Installation einzurichten - ein Telefonat und eine kurze Recherche in anderem Tab - und schon bin ich rausgeflogen aus dem BE . Klar, man kann sich damit arrangieren, aber es erleichtert die Arbeit nicht gerade, auch wenn ich 30 Minuten aus Sicherheitsgründden für Editoren durchaus für sinnvoll erachte.

LG
Anke

[Spooky]

https://github.com/contao/core-bundl...ent-1677011295

[mdoll]

Moin,

ein unkomplizierter Workaround wäre das automatische Neuladen eines Tabs, in dem das Backend geladen ist. Für Firefox gibt es z.B. die Erweiterung Tab Reloader. Damit kann man einen Tab in regelmäßigen Abständen neu laden lassen, z.B. 15 Minuten. Damit sollte man im Backend eingeloggt bleiben.

Gruß
Mathias