メインコンテンツへスキップ

ログアウト時のセッションレイヤー

ログアウト機能を実装する際は、通常、考慮すべきセッションレイヤーが 3 つあります。
  1. アプリケーションセッションレイヤー: 最初のレイヤーは、アプリケーション内のセッションです。アプリケーションではユーザーの認証に Auth0 を使用しますが、ユーザーがアプリケーションにログイン済みであることは、引き続きアプリケーション側で管理する必要があります。一般的な Web アプリケーションでは、Cookie に情報を保存することでこれを実現します。セッションをクリアして、アプリケーションからユーザーをログアウトします。アプリケーションセッションは、アプリケーション側で処理する必要があります。
  2. Auth0 セッションレイヤー: Auth0 もユーザーのセッションを維持し、その情報を Cookie に保存します。次回ユーザーが Auth0 Lock 画面にリダイレクトされると、ユーザーの情報は保持されたままになります。シングルサインオン (SSO) Cookie をクリアして、Auth0 からユーザーをログアウトします
  3. IDプロバイダーセッションレイヤー: 最後のセッションレイヤーは、IDプロバイダーレイヤーです (たとえば、Facebook や Google) 。ユーザーがこれらのプロバイダーのいずれかを使ってサインインしようとした際に、すでにそのプロバイダーにサインインしていれば、再度サインインを求められることはありません。ユーザーには、自身の情報を Auth0、ひいてはアプリケーションと共有する許可を求められる場合があります。このセッションレイヤーからユーザーをログアウトさせる必要はありませんが、ログアウトを強制することはできます。 (詳細については、IDプロバイダーからユーザーをログアウトする および SAML IDプロバイダーからユーザーをログアウトする を参照してください。)

ログアウト後にユーザーをリダイレクトする

ユーザーのログアウト後、ユーザーをリダイレクトして特定の URL に遷移させることができます。リダイレクト URL は、テナントまたはアプリケーションの設定に登録する必要があります。Auth0 は、ログアウト後は許可リストに含まれている URL にのみリダイレクトします。アプリケーションごとに異なるリダイレクト先が必要な場合は、アプリケーション設定の許可リストに URL を追加できます。