Используется cgit+uwsgi+nginx. Дистрибутив gentoo.
Для ограничения просмотра репозиториев cgit с использованием браузера используется ограничение по паролю пользователя в nginx. А именно, используется протокол “HTTP Basic Authentication” c помощью директив auth_basic в nginx.
Проблема состоит в том, что при таком базовом способе аутентикации пользователь, который уже залогинился, может сидеть на страничке cgit сколько угодно. Разлогинить его не получится ни путём перезагрузки сервиса nginx на сервере, ни даже путём перезагрузки самой машины сервера. Когда сервер загрузится снова, пользователь сможет смотреть страницы дальше.
Поэтому опасения вызывает то, что пользователь может банально не закрыть браузер и уйти, а закрытая страница будет прочитана посторонними. Так можно скачать доступные репозитории.
Вопросы:
1 - как можно ограничить время логина и выкидывать пользователя через некоторый интервал времени?
2 - есть ли несложный способ прикрутить U2F (Universal 2nd Factor) к такой конфигурации? Под словом «несложный» подразумевается возможность справиться с этим методами системного администрирования.
