Saltar al contenido principal
Auth0 recomienda que todas las aplicaciones nativas que utilizan el Authorization Code Flow migren a callbacks basados en HTTPS mediante Android App Links y Apple Universal Links. Esto mejora la seguridad y mitiga el riesgo de suplantación de aplicaciones y ataques de phishing. Para entender cómo esto previene estos ataques, consulta Measures Against Application Impersonation. Los tenants creados antes del 15 de octubre de 2025 mantendrán el comportamiento anterior como predeterminado hasta el 28 de abril de 2026. Después de la fecha límite de octubre, los tenants nuevos pueden mostrar por defecto el nuevo mensaje de confirmación de inicio de sesión, con algunas excepciones según el calendario de implementación de cada entorno. Los tenants que opten explícitamente por no participar omitirán este mensaje de forma indefinida. Esto seguirá siendo así incluso después del 28 de abril de 2026, cuando el servicio adopte el mensaje de confirmación como comportamiento predeterminado y elimine la opción de migración “Unconfirmed Login with Non-Verifiable Callback URI Redirects”.

¿Cómo le afecta?

En el caso de las aplicaciones cliente que ya especifican o tienen previsto especificar un esquema de URI personalizado o una URI de callback de loopback, es posible que se exija a los usuarios finales confirmar explícitamente el inicio de sesión interactuando con el nuevo mensaje de confirmación de inicio de sesión. Sus usuarios finales podrían percibir este cambio como un empeoramiento de la experiencia de usuario. Además, las solicitudes de autenticación que incluyan prompt=none se rechazarán cuando las aplicaciones utilicen URI de callback no verificables y estén configuradas para usar el nuevo mensaje de confirmación de inicio de sesión.

Tareas de migración

Auth0 recomienda encarecidamente migrar a callbacks basados en HTTPS mediante Android App Links y Apple Universal Links siempre que sea posible en todas las aplicaciones nativas que utilicen Authorization Code Flow. Además, en los tenants donde el comportamiento predeterminado cambie después del 28 de abril de 2026, deberías seleccionar explícitamente el comportamiento que necesitas para las solicitudes de autenticación que usen esquemas de URI personalizados o URI de loopback como callback antes de que cambie el comportamiento predeterminado del sistema.

Revisa si tus aplicaciones usan URI de callback no verificables

En los tenants en los que la opción de migración Unconfirmed Login with Non-Verifiable Callback URI Redirects está disponible y habilitada, las solicitudes de autenticación que especifiquen un esquema de URI personalizado o una URI de loopback generarán una entrada de registro de obsolescencia del tenant a menos que hayas configurado explícitamente la siguiente opción a nivel de aplicación o de tenant: skip_non_verifiable_callback_uri_confirmation_prompt Estas entradas de registro del tenant contienen el identificador de cliente de la aplicación que realiza la solicitud. Puedes supervisarlas en el Auth0 Dashboard con la siguiente consulta: 
type:depnotetype:depnote AND description:Unconfirmed\ Login\ with\ Non-Verifiable\ Callback\ URI\ Redirects*

Activar el nuevo mensaje de confirmación de inicio de sesión

Para activar de forma anticipada el nuevo mensaje de confirmación de inicio de sesión y reforzar la seguridad de los flujos de autenticación que usan esquemas de URI personalizados o URI de loopback, completa los siguientes pasos en tu Auth0 Dashboard:
  1. Ve a Auth0 Dashboard > Tenant Settings > Advanced.
  2. En la sección Migrations, desactiva el interruptor Unconfirmed Login with Non-Verifiable Callback URI Redirects.
Auth0 Dashboard > Tenant Settings > Advanced > interruptor desactivado

Desactivar el nuevo mensaje de confirmación de inicio de sesión

Si, tras evaluar las consideraciones de seguridad, decide no usar el nuevo mensaje de confirmación de inicio de sesión, puede configurar aplicaciones específicas o todo el tenant para no adoptar este nuevo comportamiento. Puede hacerlo desde el Auth0 Dashboard. La configuración a nivel de aplicación tiene prioridad sobre la configuración a nivel de tenant. Para evitar cambios de comportamiento no deseados, asegúrese de configurar primero los ajustes específicos de la aplicación antes de cambiar la configuración a nivel de tenant. Por ejemplo, puede que quiera omitir la Non-Verifiable Callback URI End-User Confirmation para algunas aplicaciones específicas y, de forma predeterminada, mostrarla para otras aplicaciones, o viceversa. Para desactivarlo en aplicaciones específicas:
  1. Vaya a Auth0 Dashboard > Applications > Settings > Advanced Settings > OAuth.
  2. Busque y desactive el interruptor Non-Verifiable Callback URI End-User Confirmation y seleccione Save. Es posible que deba seleccionar la opción Override the tenant setting para poder administrar esta configuración de forma permanente.
Auth0 Dashboard > Applications > Settings > Advanced
Para desactivarlo en todo el tenant:
  1. Vaya a Auth0 Dashboard > Tenant Settings > Advanced.
  2. Busque y desactive el interruptor Non-Verifiable Callback URI End-User Confirmation en la sección Login and Logout y seleccione Save. Es posible que deba seleccionar Turn on para poder administrar esta configuración de forma permanente.
Auth0 Dashboard > Tenant Settings > Advanced
También puede configurar el comportamiento requerido del tenant mediante la Auth0 Management API. En concreto, puede realizar la configuración en dos niveles:
  • Configuración a nivel de tenant: Puede administrar el comportamiento del mensaje de confirmación estableciendo la propiedad skip_non_verifiable_callback_uri_confirmation_prompt mediante el endpoint Update Tenant Settings.​
  • Configuración a nivel de aplicación: Para reemplazar la configuración a nivel de tenant en aplicaciones específicas, establezca la misma propiedad skip_non_verifiable_callback_uri_confirmation_prompt mediante el endpoint Update Client.
Para obtener más información y orientación sobre cómo configurar sus aplicaciones, consulte Measures Against Application Impersonation.