Skip to main content
Les limites de durée des sessions déterminent combien de temps le système conserve une session de connexion. Dans Auth0, deux paramètres de durée de session peuvent être configurés :
  • Durée de session inactive : Période après laquelle la session d’un utilisateur expire si son n’a pas interagi avec le . Cette valeur est remplacée par les limites du système si elle dépasse 3 jours pour les forfaits en libre-service ou 100 jours pour les forfaits d’entreprise.
  • Durée maximale de la session : Période après laquelle l’utilisateur devra se reconnecter, peu importe son activité. Cette valeur est remplacée par les limites du système si elle dépasse 30 jours pour les forfaits en libre-service ou 365 jours pour les forfaits d’entreprise.
Ces paramètres sont configurés au niveau du locataire; vous pouvez les définir au moyen de l’Auth0 Dashboard ou de la . Lorsqu’un utilisateur effectue une nouvelle connexion standard, la session de connexion est réinitialisée. Voici un exemple :
  1. Vous définissez la limite de durée de session inactive à 3 jours et la limite Exiger une nouvelle connexion après à 30 jours.
  2. Un utilisateur se connecte et les valeurs que vous avez définies s’appliquent à sa session.
    1. Si l’utilisateur est actif pendant la période de trois jours de durée de session inactive, la durée de la session est prolongée de trois jours supplémentaires. Tant que l’utilisateur reste actif dans chaque période suivante de trois jours, la durée de sa session est prolongée de trois jours supplémentaires, jusqu’à ce que la limite de durée maximale de la session soit atteinte. À ce moment, l’utilisateur devra se reconnecter.
    2. Si l’utilisateur est inactif pendant trois jours, sa session prendra automatiquement fin.
  3. Pendant que l’utilisateur est connecté, vous prolongez les limites de durée de la session en cours. Les nouveaux paramètres n’entreront en vigueur qu’une fois la session en cours terminée et lorsque l’utilisateur se reconnectera.
  4. Pendant que l’utilisateur est connecté, vous réduisez les limites de durée existantes. Les nouveaux paramètres prendront effet immédiatement à la prochaine activité de l’utilisateur. Cela vous permet de raccourcir la durée des sessions à des fins de sécurité.

URL de déconnexion propres à l’application

Il y a deux éléments importants à prendre en compte lorsque vous utilisez des URL de déconnexion propres à l’application :
  • Vous devez envoyer client_id comme paramètre de requête lorsque vous appelez le point de terminaison /oidc/logout, et l’URL indiquée dans id_token_hint doit figurer dans la liste des URL de déconnexion autorisées de l’application.
  • Cela met fin à la session Auth0 pour l’ensemble du locataire, c.-à-d. pour toutes les applications définies, et pas seulement celle qui correspond au client_id fourni. Le fait de transmettre client_id indique au point de terminaison /logout où trouver la liste blanche des URL de déconnexion.
Une fois l’utilisateur déconnecté, Auth0 ne redirigera que vers une URL définie dans cette liste. Si vous redirigez l’utilisateur vers l’application après la déconnexion et que l’application le redirige vers un qui maintient encore une session authentifiée pour cet utilisateur, l’utilisateur sera reconnecté silencieusement à votre application et il pourrait sembler que la déconnexion n’a pas fonctionné. Dans ce cas, nous vous recommandons d’avoir dans votre application une page de destination de déconnexion distincte afin d’indiquer à l’utilisateur qu’il s’est déconnecté avec succès — et, au besoin, de l’avertir qu’il est peut-être encore connecté à son fournisseur d’identité. Si un utilisateur n’a effectué aucune action entraînant la mise à jour de la session Auth0, nous vous recommandons de l’inviter explicitement à choisir de continuer sa session. Cette approche vise à permettre à la session de devenir inactive si l’utilisateur n’est plus présent, tout en offrant un moyen de déclencher un rafraîchissement silencieux du jeton pour qu’il puisse poursuivre sa session sans avoir à saisir de nouveau ses identifiants.
  • Minuteur d’inactivité : Ajoutez un minuteur glissant à l’enveloppe du SDK React qui s’aligne sur la durée d’inactivité maximale de la session Auth0. Chaque fois qu’un jeton est renvoyé à l’application, réinitialisez le minuteur.
  • Fenêtre modale de délai d’expiration : Lorsque le minuteur atteint les 60 secondes précédant l’expiration, une fenêtre modale de délai d’expiration doit s’afficher pour demander à l’utilisateur de se déconnecter ou de continuer sa session.
    • Continuer la session : Si l’utilisateur choisit de continuer sa session, utilisez la méthode getTokenSilently() pour demander un nouveau jeton sans le rediriger hors de la page avec laquelle il interagit actuellement.
    • Déconnexion : Si l’utilisateur choisit de se déconnecter, la méthode logout() doit être appelée pour garantir qu’il est également mis fin à la session Auth0.
    • Délai d’expiration d’inactivité : Si le délai d’expiration d’inactivité est atteint, aucune action immédiate n’est nécessaire. Pour tenir compte du fait que l’utilisateur peut encore être actif dans un autre onglet, le comportement ne doit pas consister à le déconnecter.
    • Parmi les autres options, mentionnons la mise à jour de la fenêtre modale avec un bouton de connexion, l’utilisation de l’événement window.onfocus pour déclencher getTokenSilently(), ou la redirection de l’utilisateur vers une page de destination.

En savoir plus