Passer au contenu principal
Il existe généralement trois couches de session qui peuvent être créées lorsque vos utilisateurs se connectent :
  • Couche de session de l’application : Cette couche correspond à la session au sein de votre application. Bien que votre application utilise Auth0 pour authentifier les utilisateurs, elle garde aussi une trace du fait que l’utilisateur s’y est connecté; dans une application Web traditionnelle, par exemple, cela se fait en stockant cette information dans un témoin.
  • Couche de session Auth0 : Auth0 maintient également une session sur le pour l’utilisateur et stocke ses informations dans un témoin. Cette couche sert à mémoriser les informations de l’utilisateur afin que, la prochaine fois qu’il est redirigé vers Auth0 pour se connecter, elles soient conservées. Cette couche de session rend l’expérience de possible dans les implémentations de SSO entrant.
  • Couche de session du  : Lorsque les utilisateurs tentent de se connecter à l’aide d’un fournisseur d’identité comme Facebook ou Google et qu’ils disposent déjà d’une session valide auprès de ce fournisseur, ils n’auront pas à se reconnecter, bien qu’on puisse leur demander d’autoriser le partage de leurs informations avec Auth0 et, par conséquent, avec votre application.

Déconnexion de session

Dans le contexte des implémentations Auth0, la déconnexion consiste à mettre fin à une session authentifiée. Il s’agit d’une bonne pratique de sécurité de mettre fin aux sessions lorsqu’elles ne sont plus nécessaires afin d’éviter toute prise de contrôle potentielle par des tiers non autorisés. Auth0 fournit des outils pour vous aider à offrir aux utilisateurs la possibilité de se déconnecter; cela comprend des options pour proposer différents niveaux de déconnexion et pour déterminer où l’utilisateur sera redirigé une fois la déconnexion terminée.
  • Déconnexion de la couche de session de l’application : Déconnecter les utilisateurs de vos applications entraîne généralement l’effacement de leur session d’application, et cela doit être géré par votre application : pour la couche de session de l’application, il n’y a rien dans votre locataire Auth0 que vous devez utiliser pour faciliter la fin de la session. Vous devrez utiliser le mécanisme de gestion de session de votre application pour effacer toute information liée à la session. Notez que certains SDK Auth0 offrent une certaine prise en charge des sessions d’application; consultez la documentation pour vérifier si une suppression locale de session par le SDK est nécessaire.
  • Déconnexion de la couche de session Auth0 : Vous pouvez déconnecter les utilisateurs de la couche de session Auth0 en les redirigeant vers le point de terminaison de déconnexion Auth0 afin qu’Auth0 puisse effacer le témoin SSO.
    En règle générale, vous effacez une session Auth0 en redirigeant les utilisateurs vers le point de terminaison /logout. Toutefois, si vous appelez le point de terminaison Update a User pour réinitialiser les attributs de l’utilisateur (en transmettant les valeurs email, email_verified, phone_number, password et username), auth0.checkSession ne renouvelle pas la session, et l’utilisateur doit se reconnecter.
  • Déconnexion de la couche de session du fournisseur d’identité : Il n’est pas nécessaire de déconnecter les utilisateurs de cette couche de session, mais vous pouvez utiliser Auth0 pour forcer la déconnexion au besoin.

URL de redirection

Pour fermer la session de votre couche de session Auth0, vous devez rediriger l’utilisateur vers https://{yourCNAME} ou {yourTenant}.auth0.com/oidc/logout — généralement à l’aide de la méthode appropriée du SDK Auth0 pour votre pile technologique. Cela effacera votre session Auth0. Vous devrez aussi ajouter à cette requête un paramètre de requête nommé id_token_hint — ce paramètre doit contenir une URL préenregistrée qui vous protège contre les attaques par redirection ouverte. Après la déconnexion, Auth0 redirige uniquement vers des URL autorisées, et vous pouvez les configurer à deux endroits. Le premier se situe au niveau de votre locataire Auth0, où vous pouvez définir l’ensemble des URL de déconnexion partagées entre toutes les applications. Le second se trouve dans les paramètres de l’application : si vous avez besoin de redirections différentes pour chaque application, vous pouvez autoriser les URL dans les paramètres de votre application. Cela vous permet de définir des URL de déconnexion dans un contexte propre à l’application.

Durée de vie de la session et expiration de la session

Vous pouvez définir le comportement à adopter lorsqu’un utilisateur ne se déconnecte pas explicitement de votre application. Auth0 fournit des limites de durée de vie de la session pour gérer la fin de la session Auth0 dans ce cas.

Déconnexion fédérée

Vous pouvez aussi déconnecter les utilisateurs de la couche de session du fournisseur d’identité. Bien que cela ne soit pas recommandé, pour de nombreux fournisseurs, Auth0 prend en charge ce comportement si vous ajoutez le paramètre de requête federated à la redirection vers /oidc/logout. L’utilisateur est alors redirigé vers son fournisseur d’identité et y est également déconnecté. Pour en savoir plus sur la déconnexion fédérée, consultez l’article Déconnecter les utilisateurs des fournisseurs d’identité.

En savoir plus