Autenticar
Administrar usuarios
Personalizar
Auth0 AI
Plataforma- Revise las URL de callback permitidas, las de CORS y las URL de redirección permitidas para Logout para asegurarse de que sean correctas, estén completas y no incluyan el uso de
file:///ni delocalhost. Minimice el uso de comodines y considere cuidadosamente sus implicaciones de seguridad. - Separe el uso en producción del trabajo de desarrollo en curso mediante inquilinos independientes para producción, pruebas y desarrollo.
- Configure su red correctamente para permitir el tráfico hacia y desde nuestras API públicas (los entornos de producción pueden tener una configuración diferente de la de desarrollo/staging).
- Compruebe la fecha de vencimiento de los certificados que haya agregado a su configuración para asegurarse de que los certificados cargados durante los ciclos de desarrollo no caduquen durante el lanzamiento ni poco después.
- Asegúrese de que todos los remotos usen NTP para que la hora se sincronice correctamente.
- La cantidad de días durante los que los datos de registro están disponibles varía según el plan, hasta un máximo de 30 días. Si necesita conservar los datos de registro durante un período más largo, debe configurar una de nuestras soluciones de Log Streaming. Esto le permitirá conservar los datos de registro durante más tiempo. Asegúrese de configurarlo antes de entrar en producción para tener datos de registro disponibles cuando los necesite.
- Asegúrese de que su uso de nuestras API se mantenga dentro de los límites permitidos y de haber escrito su código para adaptarse dinámicamente a la información del límite de tasa devuelta en el encabezado, así como para gestionar errores. Si prevé que los límites de frecuencia puedan suponer un problema para su aplicación, consúltelo con nosotros de antemano para comprobar si sería posible aumentarlos temporalmente hasta que el tráfico vuelva a la normalidad. Debe considerar el uso de una caché de datos de usuario para no tener que consultar un endpoint de API más de lo necesario.
- Si usa conexiones sociales, asegúrese de obtener sus propias credenciales del proveedor y añadirlas a la configuración de la conexión social.
- Si utiliza conexiones de BD personalizadas, asegúrese de que todos los scripts de Custom DB estén implementados y devuelvan un perfil de usuario consistente con un ID de usuario único.
- Para enviar correos electrónicos, primero asegúrate de configurar un proveedor de correo electrónico personalizado.
- Si usa nuestro CDN para el widget Lock, asegúrese de fijar una versión específica.
- Asegúrese de que los componentes externos a los que llaman Actions, Rules, Hooks y los scripts de conexión a bases de datos personalizadas puedan soportar la carga esperada.
- Proteja adecuadamente cualquier valor de .
- Revisa los tipos de concesión de tus aplicaciones. Asegúrate de tener habilitados los adecuados y, lo que es más importante, deshabilita cualquier tipo de concesión que no necesites.
- Si usa user_metadata, confirme que se trata de datos que los usuarios deberían poder modificar por sí mismos (por ejemplo, no el “estado de pago”).
- Revise su configuración de protección contra ataques y lea Protección contra ataques para saber cómo desbloquear a los usuarios bloqueados.
- Revise su sección Admin de Configuración del Tenant para asegurarse de que solo los administradores autorizados tengan acceso al . Consulte Administrar el acceso al Dashboard para obtener más información.
- Asegúrese de haber probado todos los casos de uso principales de su aplicación en todos los dispositivos que puedan usar los usuarios finales. Asegúrese de probar el inicio de sesión, (si se admite) y el registro, así como lo que sucede si un usuario ejecuta su aplicación en varias pestañas del navegador.
- Revise su lista de Rules y asegúrese de que solo estén activadas las Rules adecuadas.
- Revise el código de su Rule, cualquier script de Custom DB y cualquier código personalizado en la página de Login para asegurarse de que cada llamada tenga un control y un manejo de errores adecuados. Además, compruebe que las sentencias return/callback se utilicen correctamente.
- Configure el nombre de su aplicación, la URL de soporte y el correo electrónico de soporte en la sección Configuración general del Tenant para que, si ocurre un error, sus usuarios finales sean redirigidos a una página adecuada.
- Asegúrate de que tu aplicación obtenga dinámicamente un token de la Management API.
- Elimine cualquier instrucción
console.logde sus Rules o script de Custom DB. En especial, aquellas que puedan filtrar información de identificación personal del usuario, como el correo electrónico, el username o la contraseña. - No utilice secretos en texto plano en Rules ni en db-connections. Deben añadirse en la sección de configuración de la interfaz. La configuración está cifrada y se proporciona justo a tiempo. No registre el objeto de configuración.
Consejos previos al lanzamiento
Una lista de consejos útiles para comenzar con los servicios de Auth0, basada en comentarios y experiencias de otros
Aquí tienes una lista de los consejos que nuestros clientes han considerado más útiles al empezar a usar los servicios de Auth0: