Saltar al contenido principal
Cuando se realizan solicitudes de autenticación desde su aplicación (mediante el widget Lock o un formulario de inicio de sesión personalizado) a Auth0, las credenciales del usuario se envían a un dominio distinto del que sirve su aplicación. Recopilar credenciales de usuario en una aplicación servida desde un origen y luego enviarlas a otro origen puede presentar ciertas vulnerabilidades de seguridad, incluida la posibilidad de un ataque de phishing. Auth0 proporciona un flujo de autenticación entre orígenes que utiliza cookies de terceros. El uso de cookies de terceros permite que Lock y el backend de Auth0 realicen las comprobaciones necesarias para permitir transacciones de autenticación seguras entre distintos orígenes. Esto ayuda a prevenir el phishing al crear una experiencia de con el widget Lock o un formulario de inicio de sesión personalizado en su aplicación, y también ayuda a crear una experiencia de inicio de sesión segura aunque SSO no sea el objetivo. La autenticación entre orígenes no se recomienda y solo es necesaria al autenticar con un directorio mediante nombre de usuario y contraseña. Los sociales y la federación empresarial utilizan un mecanismo distinto, con redirección mediante protocolos estándar como Connect y . Además, la autenticación entre orígenes solo se aplica al inicio de sesión incrustado en la web (mediante Lock o auth0.js). Las aplicaciones nativas que usan inicio de sesión incrustado utilizan el estándar.

Limitaciones

Debido a que la autenticación entre orígenes se realiza mediante cookies de terceros, si se deshabilitan las cookies de terceros, la autenticación entre orígenes fallará. Algunos navegadores, como la versión más reciente de Firefox, deshabilitan las cookies de terceros de forma predeterminada, lo que significa que la autenticación entre orígenes no funcionará para los usuarios de Firefox. La única manera de hacer que el inicio de sesión incrustado funcione para los usuarios de Firefox es usar un , como se describe a continuación. Hay dos enfoques que puede seguir para solucionar el problema:
  • Habilite un dominio personalizado en su inquilino y aloje su aplicación web en un dominio que tenga el mismo dominio de nivel superior que su dominio personalizado de Auth0. Por ejemplo, aloje una aplicación en https://northwind.com y configure su dominio personalizado de Auth0 como https://login.northwind.com. De este modo, las cookies dejan de ser de terceros (porque tanto su inquilino de Auth0 como su aplicación usan el mismo dominio de nivel superior) y, por lo tanto, los navegadores no las bloquean.
  • Cree y vincule una página de verificación entre orígenes que hará que la autenticación entre orígenes funcione en un número limitado de navegadores, incluso con las cookies de terceros deshabilitadas.

Más información