Saltar al contenido principal
La API de autenticación de Auth0 utiliza un conjunto de cookies HTTP para habilitar capacidades de inicio de sesión único (SSO), autenticación multifactor (MFA) y protección contra ataques. En la siguiente tabla se muestran algunas de las cookies de las que depende la API de autenticación y se describe su finalidad:
CookieFuncionalidadFinalidad
auth0Inicio de sesión únicoSe utiliza para implementar la capa de sesión de Auth0.
auth0_compatInicio de sesión únicoCookie de respaldo para el inicio de sesión único en navegadores que no admiten el atributo sameSite=None.
auth0-mfAutenticación multifactorSe utiliza para establecer el nivel de confianza de un dispositivo determinado.
auth0-mf_compatAutenticación multifactorCookie de respaldo para la autenticación multifactor en navegadores que no admiten el atributo sameSite=None.
a0_users:sessClassic LoginSe utiliza para la protección contra CSRF en los flujos de Classic Login.
a0_users:sess.sigClassic LoginSe utiliza para la protección contra CSRF en los flujos de Classic Login.
didProtección contra ataquesIdentificación del dispositivo para la protección contra ataques.
did_compatProtección contra ataquesCookie de respaldo para la detección de anomalías en navegadores que no admiten el atributo sameSite=None.
Auth0 no admite escenarios en los que las cookies de autenticación indicadas se modifiquen de ningún modo, incluida la adición, modificación o eliminación de atributos de las cookies, ya sea mediante navegadores no estándar, extensiones del navegador o proxies HTTP.

Cookies y dominios personalizados

Si usa dominios personalizados, las cookies de la API de autenticación se envían al nombre de host personalizado, o CNAME, que configuró en el . El atributo de dominio de cada cookie, que especifica el dominio para el que la cookie es válida, se define en el encabezado de solicitud de la cookie y debe coincidir con ese atributo de dominio. Si no se especifica ningún dominio, el atributo de dominio usa de forma predeterminada el host de la solicitud. Si usa la especificación HTTP State Management Mechanism del IETF para establecer cookies en el dominio principal, la cookie se compartirá con todos los subdominios del dominio principal. Por ejemplo, configura su CNAME como login.example_domain.com, un subdominio de example_domain.com. Aloja otras aplicaciones en el dominio principal, como app1.example_domain.com y app2.example_domain.com. Cuando los usuarios visitan login.example_domain.com, las cookies de app1.example_domain.com y app2.example_domain.com pueden enviarse junto con las solicitudes a la API de autenticación de Auth0. Para proteger nuestra plataforma, y dado que estas cookies pueden alcanzar un tamaño considerable y compartirse con otros subdominios, Auth0 puede rechazar solicitudes que incluyan encabezados excesivamente grandes (de varios kilobytes). Las aplicaciones deben diseñarse de modo que no se envíen cookies excesivamente grandes a la API de autenticación de Auth0. Para obtener más información sobre el comportamiento de las cookies con , consulte Sending Cookies to the Origin Server.

Más información