Параметры безопасности

Зачем нужно

Документ фиксирует конкретные security-параметры: password policy, JWT/OAuth TTL, rate limits, lockout, retention, cookies, CORS, redaction и ограничения на секреты.

Password policy

Параметр	Значение
Минимальная длина	10 символов
Максимальная длина	128 символов
Обязательные классы	минимум 3 из 4: lowercase, uppercase, digit, symbol
Запрещено	email/phone/display name внутри пароля
Повторное использование	нельзя использовать последние 5 password hashes
Hash	Argon2id preferred; bcrypt допустим для совместимости
Rehash	при login, если hash policy устарела

JWT and sessions

Параметр	Значение
Access token TTL	15 минут
Main refresh token TTL	30 дней
Remember me refresh TTL	90 дней
Refresh rotation	всегда
Reuse detection	отзывает всю token family
Clock skew	60 секунд
Signing algorithm	RS256/JWKS для всех ecosystem access tokens; HS256 допустим только для internal identity-only artifacts, которые не принимаются другими доменами
JWKS rotation	новый key публикуется минимум за 24 часа до использования

OAuth/OIDC

Параметр	Значение
Authorization code TTL	5 минут
PKCE	обязателен для public clients
Code challenge method	только S256
OAuth access token TTL	1 час
OAuth refresh token TTL	30 дней
Consent lifetime	до revoke или изменения scopes
Redirect URI matching	точное совпадение, wildcard запрещён
Client secret storage	только hash

Verification codes

Purpose	TTL	Attempts	Повторная отправка
login OTP	5 минут	5	60 секунд
contact verify	15 минут	5	60 секунд
reset password	10 минут	5	60 секунд
sso_otc	10 минут	5	60 секунд

Новый код для того же destination + purpose инвалидирует предыдущий active code.

Rate limits

Действие	Лимит
/auth/register	5/IP/час, 3/identifier/час
/auth/flow/start	20/IP/10 минут
password step	10/IP/10 минут, 5/user/10 минут
OTP verify	10/IP/10 минут, 5/code
send verification code	3/destination/10 минут, 10/IP/час
reset password start	5/identifier/час, 20/IP/час
refresh token	60/session/час
OAuth authorize	60/client/IP/10 минут
OAuth token	30/client/IP/10 минут
invitation create	30/actor/час
admin mutation	120/actor/час
plugin install	10/actor/день

Rate limit response: 429 identity.auth.rate_limited, header Retry-After.

Lockout

• 5 failed password attempts within 10 minutes: lock user credential for 15 minutes.
• 10 failed attempts within 24 hours: require reset password or admin unlock.
• Lockout не раскрывается публично как “аккаунт существует”.
• Admin unlock пишет audit.

Cookies and browser storage

Если refresh token хранится в cookie:

• HttpOnly;
• Secure;
• SameSite=Lax для same-site app;
• SameSite=None только при необходимости cross-site OAuth callback;
• path ограничен auth endpoints;
• CSRF token обязателен для cookie-auth mutating requests.

LocalStorage разрешён только для saved account metadata без tokens и secrets.

CORS

• Allowed origins задаются в system_settings.
• Credentials разрешены только для доверенных origins.
• x-request-id exposed header.
• Wildcard origin запрещён в production.

Redaction

Всегда редактируются:

• password fields;
• verification codes;
• JWT/access/refresh/id tokens;
• OAuth authorization codes;
• cookies;
• authorization headers;
• TOTP secrets;
• plugin secrets;
• SMTP credentials;
• private keys;
• API keys.

Retention

Данные	Срок
auth flow sessions	7 дней
verification codes	30 дней после expiry/consume
active sessions	до expiry/revoke
revoked sessions	180 дней
audit logs	3 года
event logs	365 дней
frontend diagnostics	только application logs, без БД
OAuth codes	7 дней
OAuth refresh tokens revoked/expired	180 дней

Admin danger actions

Требуют re-auth не старше 10 минут:

• смена роли super/admin;
• отзыв всех сессий пользователя;
• отключение OAuth client;
• установка/включение plugin;
• изменение CORS origins;
• изменение password/rate limit settings;
• просмотр/экспорт audit logs с PII.

Готовность

• значения лимитов перенесены в конфигурацию;
• production не использует dev-секреты;
• security-параметры покрыты tests;
• logs проверены на отсутствие secrets;
• OAuth и auth endpoints имеют отдельные лимитеры.