Saltar al contenido principal
Puedes redirigir a los usuarios a una URL específica después de cerrar sesión. Tendrás que registrar la URL de redirección en la configuración de tu inquilino o de tu aplicación. Auth0 solo redirige a las URL incluidas en la lista de permitidas después del cierre de sesión. Si necesitas redirecciones diferentes para cada aplicación, puedes agregar las URL a la lista de permitidas en la configuración de tu aplicación.
  1. Agrega un parámetro de cadena de consulta returnTo con la URL de destino como valor. Codifica la URL de destino que se pasa. Por ejemplo, para redirigir al usuario a https://www.example.com después de cerrar sesión, realiza la siguiente solicitud: https://{yourDomain}/v2/logout?returnTo=https%3A%2F%2Fwww.example.com.
  2. Agrega la URL returnTo sin codificar (por ejemplo, https://www.example.com) como Allowed Logout URLs en uno de estos dos lugares:
    • Tenant Settings: Para las solicitudes de cierre de sesión que no incluyan el parámetro client_id, debes agregar la URL returnTo a la lista de Allowed Logout URLs en la pestaña Advanced de tu Tenant Settings. Para agregar una lista de URL a las que se puede redirigir al usuario después de cerrar sesión en el nivel del inquilino, ve a Tenant Settings > Advanced en el Auth0 Dashboard.
      Pestaña Advanced de Tenant Settings en Auth0 Dashboard para inicio y cierre de sesión
    • Auth0 Application Settings: Para las solicitudes de cierre de sesión que incluyan el parámetro client_id, debes agregar la URL returnTo a la lista de Allowed Logout URLs en la pestaña Settings de las aplicaciones de Auth0 asociadas.
      Application Settings y Application URIs en Dashboard Applications
Al proporcionar la lista de URL, puedes:
  1. Especificar varias URL válidas separadas por comas.
  2. Usar * como comodín para subdominios (como http://*.example.com).
Si se incluye el parámetro client_id y no se establece la URL returnTo, el servidor redirige al usuario a la primera Allowed Logout URLs configurada en el Dashboard. Para evitar errores de validación, asegúrate de incluir la parte del protocolo de la URL. Por ejemplo, si estableces el valor en *.example.com, se producirá un error de validación, por lo que debes usar http://*.example.com en su lugar.
Para redirigir mediante el endpoint oidc/logout de Auth0, consulta Usar el endpoint OIDC para cerrar la sesión de los usuarios en Auth0.

Cierres de sesión federados

Varios proveedores admiten el cierre de sesión federado. Para redirigir a los usuarios desde aplicaciones que usan cierre de sesión federado, inicie el cierre de sesión federado con el siguiente endpoint: https://{yourDomain}/v2/logout?federated Es su responsabilidad garantizar que la aplicación finalice la sesión del usuario antes de redirigirlo. Cuando el usuario accede al endpoint /logout, Auth0 finaliza la sesión de Auth0, redirige al usuario al endpoint de cierre de sesión de los y finaliza la sesión con el Proveedor de identidad.

Limitaciones

  • No se tiene en cuenta la validación de las URL proporcionadas como valores del parámetro returnTo, ni la cadena de consulta ni la información de hash incluidas en la URL.
  • El comportamiento del cierre de sesión federado con proveedores sociales no es uniforme. Cada proveedor manejará el parámetro returnTo de forma distinta y, en algunos casos, no funcionará. Revise la configuración de su proveedor social para confirmar que acepta el parámetro returnTo y cómo se comporta.
  • Las URL incluidas en la lista Allowed Logout URLs distinguen entre mayúsculas y minúsculas, por lo que la URL usada para el cierre de sesión debe coincidir exactamente con la capitalización de la URL de cierre de sesión configurada en el Dashboard. Sin embargo, tenga en cuenta que las partes correspondientes al esquema y al host no distinguen entre mayúsculas y minúsculas. Por ejemplo, si su URL es http://www.Example.Com/FooHoo.html, la parte http://www.Example.Com no distingue entre mayúsculas y minúsculas, mientras que la parte FooHoo.html sí.
Si trabaja con Proveedores de identidad sociales como Google o Facebook, debe configurar su ID de cliente y Secret para estos proveedores en el Dashboard para que el cierre de sesión funcione correctamente.

Requisitos adicionales para Facebook

Use el parámetro returnTo para especificar cómo redirigir al usuario después de cerrar sesión. No todos los IdP admiten returnTo. En el caso de Facebook, el siguiente código de ejemplo usa el parámetro returnTo y especifica un sitio web para la redirección.

Más información