Skip to main content
El 1 de diciembre de 2021, el comportamiento de cierre de sesión cambiará para redirigir siempre a los usuarios al URI proporcionado a las API de cierre de sesión de Auth0, en lugar de usar el parámetro de consulta returnTo que pasan a /login/callback durante el proceso de cierre de sesión. El URI utilizado dependerá de la API a la que se llame para solicitar el cierre de la sesión:
  • https://{yourDomain}/logout: Auth0 usará el parámetro returnTo
  • https://{yourDomain}/v2/logout?federated: Auth0 usará el parámetro returnTo
  • https://{yourDomain}/wsfed/{yourClientId}?wa=wsignout1.0: el parámetro wreply
Si Auth0 no tiene registro de una llamada previa a una de estas API, el cierre de sesión se completará, pero no se realizará la redirección y se mostrará una página de error a los usuarios finales.

Endpoints afectados

Los siguientes endpoints se ven afectados por este cambio: Los tenants que dependen de los siguientes patrones de uso no podrán redirigir al URI de redirección deseado después del 01 de diciembre de 2021.
  1. Aplicaciones que llaman a /login/callback?returnTo sin una llamada previa a /v2/logout or /wsfed/{yourClient}?wa=wsignout1.0 para especificar la URL de cierre de sesión.
  2. Proveedores de identidad que llaman a /login/callback?returnTo con un valor en returnTo distinto del valor proporcionado originalmente en una llamada previa a /v2/logout o /wsfed/{yourClientId}.
  3. Aplicaciones que realizan llamadas simultáneas a una de las APIs afectadas y proporcionan distintos URI de redirección en esas llamadas.
  4. Aplicaciones o usuarios que realizan llamadas a la API /authorize de forma simultánea o intercalada con llamadas a una de las APIs afectadas, independientemente de si hubo una llamada previa a /v2/logout o /wsfed/{yourClientId}?wa=wsignout1.0.

Acciones

  1. Ve a Auth0 Dashboard > Monitoring > Logs y busca type:depnote AND description:*unvalidated*redirects* para encontrar las aplicaciones que dependen del comportamiento obsoleto.
  2. Para cada aplicación afectada, asegúrate de que:
    1. la aplicación o la Relying Party inicie el cierre de sesión mediante una de las API públicas de Auth0: Authentication API: Logout o Authentication API: WS-Federation.
    2. la aplicación no dependa de que los proveedores de identidad modifiquen la URL de cierre de sesión que se devuelve a /login/callback?returnTo, ya que estas modificaciones ya no se tendrán en cuenta.
    3. la aplicación no haga llamadas simultáneas a las API de cierre de sesión con distintas URL de cierre de sesión. Auth0 solo almacenará una única URL de cierre de sesión por agente de usuario en un momento dado, lo que significa que los procesos de cierre de sesión simultáneos no podrán redirigir.
    4. la aplicación no haga llamadas a /authorize de forma simultánea ni intercalada con llamadas a las API de cierre de sesión. Al completar una transacción de inicio de sesión, se borrará la URL de cierre de sesión almacenada para un agente de usuario, lo que significa que los procesos de cierre de sesión simultáneos no podrán redirigir.
    5. la aplicación y los usuarios no intercalen llamadas a /authorize con llamadas a una de las API afectadas.
Una vez que hayas completado y probado las acciones de migración, debes verificar la migración.

Verificar la migración

Una vez que haya migrado sus aplicaciones y esté seguro de que ya no dependen de los patrones de uso obsoletos, verifique los cambios deshabilitando el comportamiento obsoleto en el momento que elija y antes del 01 de diciembre de 2021.
  1. Vaya a Auth0 Dashboard > Tenant Settings > Advanced y busque la sección Migrations.
  2. Desactive el interruptor Unvalidated redirects from /login/callback. Al desactivar este interruptor, se deshabilita el comportamiento obsoleto para su inquilino, lo que impide que siga utilizándose.
Si la redirección a la URL de cierre de sesión no funciona como se espera después de desactivar este interruptor, es señal de que su aplicación todavía depende del comportamiento obsoleto. Una vez que las migraciones se hayan realizado correctamente y se hayan confirmado en los entornos de producción, puede desactivar el interruptor de forma permanente para garantizar que las funciones obsoletas ya no puedan utilizarse. El 01 de diciembre de 2021, Auth0 eliminará por completo el comportamiento obsoleto junto con el interruptor asociado.