Saltar al contenido principal
El cierre de sesión consiste en terminar una sesión autenticada cuando ya no es necesaria, lo que minimiza la probabilidad de que partes no autorizadas puedan “adueñarse” de la sesión. Normalmente, esto se logra al ofrecer una opción de cierre de sesión en la interfaz de usuario que pone a disposición de sus usuarios. Cuando un usuario inicia sesión, pueden crearse varios tipos de sesiones (por ejemplo, sesiones locales de la aplicación, la sesión de Auth0 y sesiones de terceros de ), y deberá determinar cuáles de estas sesiones deben finalizarse cuando el usuario haga clic en cualquier opción de Cierre de sesión.

Práctica recomendada

El comportamiento de cierre de sesión debe dejar claro al usuario qué sesión o sesiones se están finalizando y, de ser posible, mostrar después una confirmación visual del cierre de sesión.
Al configurar el comportamiento de cierre de sesión, deberá considerar:
  • ¿Qué sesiones deben finalizarse cuando el usuario inicia el cierre de sesión?
  • ¿Qué información debe proporcionar a los usuarios para confirmar qué sesiones se finalizaron?
  • ¿A dónde debe redirigirse a los usuarios una vez completado el cierre de sesión?
  • ¿Cuánto tiempo quiere que duren las sesiones si los usuarios no activan el proceso de cierre de sesión?
Dado que pueden crearse distintos tipos de sesiones cada vez que un usuario inicia sesión, existen varios tipos posibles de cierre de sesión. El cierre de sesión local de la aplicación finaliza la sesión con la aplicación, mientras que el cierre de sesión de Auth0 termina la sesión de Auth0. Si tiene organizaciones que usan su propio IdP, puede considerar una estrategia de cierre de sesión federado e implementarla según corresponda. El cierre de sesión global, o cierre de sesión único (SLO), finaliza la sesión de Auth0 y también envía una solicitud o notificación de cierre de sesión a las aplicaciones que dependen de la sesión de Auth0. La funcionalidad que proporciona su aplicación, así como su uso de funciones como el inicio de sesión único (SSO), influirán en su decisión sobre qué tipo de cierre de sesión se requiere y qué confirmación visual deberá proporcionar a sus usuarios. Independientemente de la opción que elija, el proceso de cierre de sesión que implemente debe dejar claro al usuario qué sesiones se están finalizando y cuándo se ha completado el proceso de cierre de sesión.
Si la función de cierre de sesión en una aplicación finaliza una sesión de SSO de Auth0 que usan otras aplicaciones, el usuario puede perder trabajo si tiene transacciones sin confirmar. Asegúrese de agregar la funcionalidad necesaria para gestionar estas situaciones y minimizar así la probabilidad de perder trabajo.

Dónde redirigir a los usuarios después de cerrar sesión

Una vez que el usuario cierre sesión, se le redirigirá a una ubicación específica que usted elija. Esta ubicación se especifica como la URL de redirección tras el cierre de sesión, y puede definirla como un parámetro mediante el . Las URL que utilice para redirigir a los usuarios después de cerrar sesión deben estar incluidas en la lista de permitidos del Dashboard para mitigar vulnerabilidades de seguridad de redirección abierta. Puede incluirlas en la lista de permitidos a nivel de inquilino o de aplicación.
Si el usuario cierra sesión y se le redirige de vuelta a la aplicación, y la aplicación redirige a un Proveedor de identidad que todavía tiene una sesión válida para el usuario, este iniciará sesión de forma silenciosa en la aplicación. Esto puede hacer que al usuario le parezca que el proceso de cierre de sesión no funcionó correctamente.

Finalización automática de sesiones

No todos los usuarios iniciarán manualmente el proceso de cierre de sesión, por lo que Auth0 también ofrece tiempo de espera de sesión para evitar sesiones excesivamente largas. Esta configuración está disponible y se puede configurar desde Auth0 Dashboard.

Guía de planificación del proyecto

Ofrecemos una guía de planificación en formato PDF que puede descargar y consultar para obtener más información sobre las estrategias que recomendamos. Guía de planificación del proyecto de IAM B2C