JIRA защищает доступ к своим административным функциям, требуя безопасного сеанса (сессии) администрирования при использовании экранов администрирования JIRA. (Это также известно как websudo.) Когда администратор JIRA (который входит в JIRA) пытается получить доступ к функции администрирования, ему будет предложено снова войти в систему. Это ведет администратора во временную защищенную сессию, которая предоставляет доступ к экранам администрирования JIRA.
Временная защищенная сессия имеет повторяющийся тайм-аут (по умолчанию 10 минут). Если нет активности администраторов в экранах администрирования JIRA на период времени, превышающий тайм-аут, администратор будет выведен из сеанса защищенного администратора (обратите внимание, что он останется включенным в JIRA). Если администратор нажимает на функцию администрирования, тайм-аут будет сброшен.
Обратите внимание, что функции администрирования проекта (как определено в разрешении «Администратор проекта») не требуют безопасного сеанса администрирования.
Ручное завершение безопасной сессии администратора
Администратор может вручную завершить свой безопасный сеанс вручную, нажав ссылку «drop access» на баннере, отображаемом в верхней части экрана.
Отключение безопасных сеансов администратора
Безопасные сеансы администратора (т. е. подтверждение пароля перед доступом к функциям администрирования) включены по умолчанию. Если это вызывает проблемы для вашего сайта JIRA (например, если вы используете пользовательский механизм проверки подлинности), вы можете отключить эту функцию, указав следующую строку в файле jira-config.properties:
jira.websudo.is.disabled = true
Для того, чтобы этот параметр вступил в силу, вам необходимо перезапустить JIRA- сервер.
Изменение тайм- аута
Для того чтобы изменить количество минут бездействия, после которых сеанс защищенного администратора будет в тайм- ауте, укажите свойство jira.websudo.timeout (в файле jira-config.properties), значение которого представляет собой количество минут бездействия, необходимых перед безопасным администрированием времени сеанса.
Например, следующая строка в файле jira-config.properties завершит сеанс безопасного администрирования через 10 минут:
jira.websudo.timeout = 10
Для того, чтобы этот параметр вступил в силу, вам необходимо перезапустить JIRA- сервер.
Заметки разработчика
Если вы написали плагин с действиями веб-поиска в разделе администрирования JIRA, эти действия должны содержать аннотацию @WebSudoRequired, добавленную в класс (а не метод или пакет, в отличие от Confluence).
Если вы хотите защитить другие типы плагинов, такие как службы REST или сервлеты, см. раздел «Добавление поддержки WebSudo в ваш плагин».
По материалам Atlassian JIRA Administrator's Guide: Configuring Secure Administrator Sessions