js · @actual-app/sync-serverCrítico
@actual-app/sync-server: sessões não invalidam após desabilitar usuário no modo OpenID multi-usuário
No modo multi-usuário OpenID, desabilitar um usuário não invalida os tokens de sessão existentes, permitindo acesso autenticado contínuo.
O que mudou
No modo multi-usuário OpenID, desabilitar um usuário não invalida os tokens de sessão existentes, permitindo acesso autenticado contínuo.
Quem isso afeta
Todas as implantações do @actual-app/sync-server que usam o modo multi-usuário OpenID, especialmente aquelas com expiração de token padrão ('never').
O que fazer hoje
Aplique a correção que verifica o status de usuário habilitado durante a validação da sessão e revoga sessões ao desabilitar o usuário.
A esteira
Coletado→
Auditado→
Redigido→
Publicado