Passer au contenu principal
Auth0 recommande à toutes les applications natives qui utilisent le flux de code d’autorisation de passer à des URI de rappel HTTPS au moyen des liens d’application Android et des liens universels Apple. Cela renforce la sécurité et réduit les risques d’usurpation d’application et d’hameçonnage. Pour comprendre comment cette approche aide à prévenir les attaques, consultez les Mesures contre l’usurpation d’application. Les locataires créés avant le 15 octobre 2025 conservent le comportement précédent par défaut jusqu’au 28 avril 2026. Après la date limite d’octobre, les locataires nouvellement créés peuvent afficher par défaut la nouvelle invite de confirmation de connexion, avec certaines exceptions selon le calendrier de déploiement de chaque environnement. Les locataires qui choisissent explicitement de s’y soustraire contourneront cette invite indéfiniment. Cela restera le cas même après le 28 avril 2026, lorsque le service adoptera l’invite de confirmation comme comportement par défaut et supprimera l’option de migration « Unconfirmed Login with Non-Verifiable Callback URI Redirects ».

Quelles sont les répercussions pour vous?

Pour les applications clientes qui spécifient déjà, ou prévoient spécifier, un schéma d’URI personnalisé ou un URI de rappel loopback, les utilisateurs finaux pourraient devoir confirmer explicitement la connexion en interagissant avec la nouvelle invite de confirmation de connexion. Vos utilisateurs finaux pourraient percevoir ce changement comme une détérioration de l’expérience utilisateur. De plus, les demandes d’authentification comprenant prompt=none seront rejetées lorsque les applications utilisent des URI de rappel non vérifiables et sont configurées pour utiliser la nouvelle invite de confirmation de connexion.

Tâches de migration

Auth0 recommande fortement de passer à des URI de rappel HTTPS en utilisant les liens d’application Android et les liens universels Apple lorsque c’est possible pour toutes les applications natives qui utilisent le flux de code d’autorisation. De plus, dans les locataires où le comportement par défaut change après le 28 avril 2026, vous devriez sélectionner explicitement le comportement requis pour les requêtes d’authentification qui utilisent des schémas d’URI personnalisés ou des URI de rappel URI loopback avant que le comportement par défaut du système ne change.

Vérifiez si vos applications utilisent des URI de rappel non vérifiables

Dans les locataires où le bouton bascule de migration Unconfirmed Login with Non-Verifiable Callback URI Redirects est disponible et activé, les requêtes d’authentification qui spécifient un schéma d’URI personnalisé ou une URI loopback généreront un journal de locataire signalant une dépréciation à moins que vous n’ayez explicitement défini l’option suivante au niveau de l’application ou du locataire : skip_non_verifiable_callback_uri_confirmation_prompt Ces journaux du locataire contiennent l’ID client de l’application qui effectue la requête. Vous pouvez surveiller ces journaux du locataire dans l’Auth0 Dashboard à l’aide de la requête suivante : 
type:depnotetype:depnote AND description:Unconfirmed\ Login\ with\ Non-Verifiable\ Callback\ URI\ Redirects*

Activer la nouvelle invite de confirmation de connexion

Pour activer par anticipation la nouvelle invite de confirmation de connexion et renforcer la sécurité des flux d’authentification utilisant des schémas d’URI personnalisés ou des URI loopback, suivez les étapes ci-dessous dans votre Auth0 Dashboard :
  1. Accédez à Auth0 Dashboard > Paramètres du locataire > Avancé.
  2. Dans la section Migrations, désactivez le bouton bascule Unconfirmed Login with Non-Verifiable Callback URI Redirects.
Auth0 Dashboard > Paramètres du locataire > Avancé > bouton bascule désactivé

Désactiver la nouvelle invite de confirmation de connexion

Si, après avoir évalué les considérations de sécurité, vous décidez de ne pas utiliser la nouvelle invite de confirmation de connexion, vous pouvez configurer des applications précises ou l’ensemble du locataire pour désactiver ce nouveau comportement. Vous pouvez le faire dans votre Auth0 Dashboard. Le paramètre au niveau de l’application l’emporte sur le paramètre au niveau du locataire. Assurez-vous de configurer les paramètres propres à l’application avant de modifier le paramètre au niveau du locataire afin d’éviter des changements de comportement involontaires. Par exemple, vous pourriez vouloir ignorer la confirmation de l’utilisateur final pour l’URI de rappel non vérifiable pour certaines applications précises, tout en l’affichant par défaut pour d’autres applications, ou inversement. Pour désactiver ce comportement pour des applications précises :
  1. Accédez à Auth0 Dashboard > Applications > Paramètres > Paramètres avancés > OAuth.
  2. Repérez et désactivez le bouton bascule Confirmation de l’utilisateur final pour l’URI de rappel non vérifiable, puis sélectionnez Enregistrer. Vous devrez peut-être sélectionner l’option Remplacer le paramètre du locataire pour pouvoir gérer cette configuration de façon permanente.
Auth0 Dashboard > Applications > Paramètres > Avancé
Pour désactiver ce comportement pour l’ensemble du locataire :
  1. Accédez à Auth0 Dashboard > Paramètres du locataire > Avancé.
  2. Repérez et désactivez le bouton bascule Confirmation de l’utilisateur final pour l’URI de rappel non vérifiable dans la section Connexion et déconnexion, puis sélectionnez Enregistrer. Vous devrez peut-être sélectionner Activer pour pouvoir gérer cette configuration de façon permanente.
Auth0 Dashboard > Paramètres du locataire > Avancé
Vous pouvez aussi configurer le comportement requis du locataire au moyen de l’Auth0 Management API. Plus précisément, vous pouvez effectuer la configuration à deux niveaux :
  • Configuration au niveau du locataire : vous pouvez gérer le comportement de l’invite de confirmation en définissant la propriété skip_non_verifiable_callback_uri_confirmation_prompt au moyen du point de terminaison Mise à jour des paramètres du locataire.​
  • Configuration au niveau de l’application : pour remplacer le paramètre au niveau du locataire pour des applications précises, définissez la même propriété skip_non_verifiable_callback_uri_confirmation_prompt au moyen du point de terminaison Update Client.
Pour plus d’informations et de directives sur la configuration de vos applications, consultez Measures Against Application Impersonation.