Passer au contenu principal
Lorsqu’une WebView ou un navigateur lance un appel vers le point de terminaison /authorize, Auth0 détermine s’il existe une session active, puis réutilise la session existante ou tient compte du session_transfer_token fourni. Pour éviter les risques d’injection de session, Auth0 applique une évaluation sécurisée et prédéfinie pour déterminer si le session_transfer_token est valide. Pour en savoir plus, consultez Configurer et implémenter le SSO Native to Web.
Le SSO Native to Web ne modifie pas le fonctionnement standard de l’authentification unique d’Auth0.
Certains flux Native to Web peuvent entraîner les comportements suivants :
  1. L’utilisateur est connecté lorsqu’un session_transfer_token valide est envoyé et qu’il n’existe aucune session Auth0 préexistante.
  2. L’utilisateur est connecté lorsqu’un session_transfer_token valide est envoyé et qu’une session Auth0 préexistante est trouvée pour le même utilisateur.
  3. L’utilisateur est invité à se connecter lorsqu’une session Auth0 préexistante est trouvée et que le session_transfer_token appartient à un autre utilisateur. De plus, la session Auth0 préexistante est révoquée.
  4. L’utilisateur est invité à se connecter lorsqu’une session Auth0 préexistante est trouvée et que le session_transfer_token n’est pas valide.

Sessions et révocation des jetons d’actualisation

Un session_transfer_token sert à établir une session sécurisée dans une WebView ou un navigateur afin d’authentifier l’utilisateur en toute sécurité, sans l’inviter à se connecter. Ces sessions Web peuvent aussi émettre leurs propres . Le SSO Native to Web applique un ensemble de règles de révocation pour assurer un comportement cohérent et sécuritaire lorsque des sessions et des jetons d’actualisation sont révoqués :
  • Lorsqu’un jeton d’actualisation est révoqué, les jetons d’actualisation et les sessions qui lui sont associés sont également révoqués si enforce_cascade_revocation est activé dans l’application native.
  • Lorsqu’une session Web est révoquée, les jetons d’actualisation qui lui sont associés sont également révoqués si enforce_online_refresh_tokens est activé dans l’application Web
  • Le SSO Native to Web imbriqué n’est pas autorisé. Une session Web créée à l’aide d’un session_transfer_token ne peut pas générer un autre session_transfer_token.