Décrit les sessions non persistantes offertes avec Auth0.
Dans le cas des sessions persistantes, les utilisateurs peuvent fermer leur navigateur, puis conserver leur session lorsqu’ils le rouvrent sur le même appareil. Pour améliorer l’expérience utilisateur et offrir un accès plus sécurisé, les sessions non persistantes invalident un à la fermeture du navigateur.
Le type d’authentification Biometrics as a First Factor ne fonctionne pas avec les sessions non persistantes.
Dans certains cas, les paramètres du locataire ne permettent pas d’imposer des sessions non persistantes. Voici quelques exemples :
L’utilisateur a activé une option de restauration de session dans le navigateur; la restauration de la session rétablit aussi le cookie de session.
L’utilisateur ferme un onglet, mais pas la fenêtre du navigateur; le cookie de session n’est pas effacé tant que la session n’a pas pris fin en raison de l’expiration d’inactivité ou de l’expiration absolue.
Dans ces cas, les sessions non persistantes n’ajoutent pas de sécurité supplémentaire à la session.
Les sessions se composent d’un témoin dans le navigateur et d’un enregistrement de session sur le serveur. Dans le cas des sessions non persistantes, les témoins ne sont pas conservés et un délai d’expiration est défini au niveau du locataire, de sorte que les utilisateurs n’ont pas à se déconnecter manuellement d’un appareil.La durée de vie d’une session détermine combien de temps le système conserve la session de connexion et se configure pour chaque locataire. L’expiration absolue d’une session est définie au moment de sa création. Vous pouvez activer des paramètres non persistants pour les sessions utilisateur, ou permettre à la session de rester active même si le navigateur est fermé. Vous pouvez ajuster l’expiration absolue et les paramètres de non-persistance dans le Dashboard ou dans la . Pour en savoir plus, consultez Configurer les paramètres de durée de vie des sessions.
La plateforme Auth0 utilise trois types de cookies : de session, et d’appareil. Ils deviennent tous non persistants une fois votre locataire Auth0 configuré. Le délai d’expiration du locataire entraîne l’expiration de la session.Lorsque les sessions non persistantes sont activées, les cookies suivants sont émis comme cookies de session lors de l’interaction avec le :
Vous pouvez configurer votre locataire pour gérer les sessions de l’une des deux façons suivantes :
Persistante : les cookies de session restent présents lorsque le navigateur est fermé.
Non persistante : les cookies de session ne sont pas conservés. Le navigateur conserve les cookies de session jusqu’à la fin de la session de navigation. Pour en savoir plus, consultez HTTP State Management Mechanism on IETF Datatracker.
Pour configurer ces paramètres dans le Dashboard :
Faites défiler jusqu’à la section Session Expiration, repérez Idle Session Lifetime et Maximum Session Lifetime, entrez les paramètres souhaités, puis sélectionnez Save.
Paramètres
Description
Durée de vie de la session inactive
Période (en minutes) après laquelle la session d’un utilisateur expire s’il n’a pas interagi avec le serveur d’autorisation. Elle est remplacée par les limites du système si elle dépasse 4 320 minutes (3 jours) pour les forfaits Essential ou Professional, ou 144 000 minutes (100 jours) pour les forfaits Enterprise.
Durée de vie maximale de la session
Période (en minutes) après laquelle un utilisateur doit se reconnecter, peu importe son activité. Elle est remplacée par les limites du système si elle dépasse 43 200 minutes (30 jours) pour les forfaits Developer ou Developer Pro, ou 525 600 minutes (365 jours) pour les forfaits Enterprise.
Vous pouvez utiliser la Management API pour activer des sessions non persistantes, ainsi que pour définir la durée de vie de la session, la durée d’inactivité de la session et les propriétés des cookies de session. Pour en savoir plus, consultez le point de terminaison de mise à jour du locataire dans la Management API.
Authenticate
Manage Users
Customize
Auth0 AI
Platform