
<html>

  <head>

    <meta content="text/html; charset=windows-1252"

      http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    <div class="moz-cite-prefix">Not sure about that. IMO seconds are

      good to have more fine grained timeout values. For example in some

      deployment the "Access token timeout" value 1 minute might be too

      short, but 2 minutes are too long, so they prefer to use 90

      seconds as compromise.<br>

      <br>

      Also seconds are good for development. For example, I am sometimes

      using seconds for testing (IE. setting timeout to 10 seconds to

      quickly enforce refresh etc)<br>

      <br>

      Skip seconds to address KEYCLOAK-1341 looks to me like workaround

      rather than real solution. The question is if we should address

      KEYCLOAK-1341 at all? There are probably many possibilities how

      can admin breaks the login to admin console itself or break the

      keycloak entirely. Few examples, which come to my mind (there are

      likely much more):<br>

      - Delete or disable security-admin-console client<br>

      - delete or disable himself<br>

      - remove roles from himself<br>

      - remove scopes from security-admin-console client<br>

      - configure authentication flow in some way that it's not possible

      login anymore<br>

      - Timeouts<br>

      <br>

      I don't think that we should try to prevent all of these

      situations. I didn't see any real support questions related to

      this. And for example in linux if you do "rm -rf /home" the system

      is broken as well. Isn't this kind of similar? IMO admins should

      do backup of database, so they can revert if they accidentally

      mis-configure things.<br>

      <br>

      Marek<br>

      <br>

      On 21/01/16 20:45, Stian Thorgersen wrote:<br>

    </div>

    <blockquote

cite="mid:CAJgngAfjh3BS2W8Ry4eQsM6tj97OAHmGXSoubPzmZrdWywbB9g@mail.gmail.com"

      type="cite">

      <div dir="ltr">Do we need to have seconds at all for token

        timeouts? Removing seconds from token would make it simpler, but

        also make sure no one sets timeouts that are to short (see <a

          moz-do-not-send="true"

          href="https://issues.jboss.org/browse/KEYCLOAK-1341"><a class="moz-txt-link-freetext" href="https://issues.jboss.org/browse/KEYCLOAK-1341">https://issues.jboss.org/browse/KEYCLOAK-1341</a></a>)</div>

      <br>

      <fieldset class="mimeAttachmentHeader"></fieldset>

      <br>

      <pre wrap="">_______________________________________________

keycloak-dev mailing list

<a class="moz-txt-link-abbreviated" href="mailto:keycloak-dev@lists.jboss.org">keycloak-dev@lists.jboss.org</a>

<a class="moz-txt-link-freetext" href="https://lists.jboss.org/mailman/listinfo/keycloak-dev">https://lists.jboss.org/mailman/listinfo/keycloak-dev</a></pre>

    </blockquote>

    <br>

  </body>

</html>