Passer au contenu principal
Lorsque des requêtes d’authentification sont envoyées depuis votre application (au moyen du widget Lock ou d’un formulaire de connexion personnalisé) à Auth0, les identifiants de l’utilisateur sont transmis à un domaine différent de celui qui héberge votre application. Le fait de recueillir les identifiants d’un utilisateur dans une application servie à partir d’une origine, puis de les envoyer vers une autre origine, peut entraîner certaines vulnérabilités de sécurité, notamment un risque d’hameçonnage. Auth0 offre un flux d’authentification inter-origines qui utilise des cookies tiers. L’utilisation de cookies tiers permet à Lock et au serveur principal d’Auth0 d’effectuer les vérifications nécessaires pour autoriser des transactions d’authentification sécurisées entre différentes origines. Cela aide à prévenir l’hameçonnage lors de la mise en place d’une expérience de avec le widget Lock ou un formulaire de connexion personnalisé dans votre application, et contribue aussi à offrir une expérience de connexion sécurisée même si le SSO n’est pas l’objectif. L’authentification inter-origines n’est pas recommandée et n’est nécessaire que pour l’authentification auprès d’un répertoire à l’aide d’un nom d’utilisateur et d’un mot de passe. Les sociaux et la fédération d’entreprise utilisent un mécanisme différent, avec redirection au moyen de protocoles standard comme Connect et . De plus, l’authentification inter-origines s’applique uniquement à la connexion intégrée sur le Web (à l’aide de Lock ou d’auth0.js). Les applications natives qui utilisent la connexion intégrée ont recours au standard.

Limites

Comme l’authentification inter-origines repose sur des cookies tiers, la désactivation de ces cookies fera échouer l’authentification inter-origines. Certains navigateurs, comme la plus récente version de Firefox, désactivent les cookies tiers par défaut, ce qui signifie que l’authentification inter-origines ne fonctionnera pas pour les utilisateurs de Firefox. La seule façon de faire fonctionner la connexion intégrée pour les utilisateurs de Firefox est d’utiliser un , comme décrit ci-dessous. Vous pouvez suivre deux approches pour résoudre le problème :
  • Activez un Domaine personnalisé sur votre locataire et hébergez votre application Web sur un domaine ayant le même domaine de premier niveau que votre domaine personnalisé Auth0. Par exemple, vous hébergez une application à l’adresse https://northwind.com et définissez votre domaine personnalisé Auth0 comme https://login.northwind.com. De cette façon, les cookies ne sont plus des cookies tiers (puisque votre locataire Auth0 et votre application utilisent tous deux le même domaine de premier niveau) et ne sont donc pas bloqués par les navigateurs.
  • Créez et liez une page de vérification inter-origines qui permettra à l’authentification inter-origines de fonctionner dans un nombre limité de navigateurs, même lorsque les cookies tiers sont désactivés.

Pour en savoir plus