Passer au contenu principal

Couches de session à la déconnexion

Lorsque vous implémentez la fonctionnalité de déconnexion, vous devez généralement tenir compte de trois couches de session :
  1. Couche de session de l’application : La première couche est la session de votre application. Même si votre application utilise Auth0 pour authentifier les utilisateurs, vous devez quand même savoir si l’utilisateur s’est connecté à votre application. Dans une application Web classique, cela se fait en stockant des informations dans un cookie. Déconnectez les utilisateurs de vos applications en effaçant leurs sessions. La gestion de la session d’application doit être effectuée dans votre application.
  2. Couche de session Auth0 : Auth0 maintient aussi une session pour l’utilisateur et stocke ses informations dans un cookie. La prochaine fois qu’un utilisateur sera redirigé vers l’écran Lock d’Auth0, ses informations seront conservées. Déconnectez les utilisateurs d’Auth0 en effaçant le cookie d’authentification unique (SSO).
  3. Couche de session du fournisseur d’identité : La dernière couche de session est celle du fournisseur d’identité (par exemple, Facebook ou Google). Lorsque les utilisateurs tentent de se connecter avec l’un de ces fournisseurs alors qu’ils y sont déjà connectés, ils n’auront pas à se reconnecter. Les utilisateurs pourraient être invités à autoriser le partage de leurs renseignements avec Auth0 et, par conséquent, avec votre application. Il n’est pas nécessaire de déconnecter les utilisateurs de cette couche de session, mais vous pouvez forcer la déconnexion. (Pour en savoir plus, consultez Déconnecter les utilisateurs des fournisseurs d’identité et Déconnecter les utilisateurs des fournisseurs d’identité SAML.)

Rediriger les utilisateurs après la déconnexion

Une fois les utilisateurs déconnectés, vous pouvez rediriger les utilisateurs vers une URL spécifique. Vous devez enregistrer l’URL de redirection dans les paramètres de votre locataire ou de votre application. Après la déconnexion, Auth0 redirige uniquement vers les URL figurant dans la liste d’autorisation. Si vous avez besoin de redirections différentes pour chaque application, vous pouvez ajouter les URL à votre liste d’autorisation dans les paramètres de votre application.