Passer au contenu principal
Vous pouvez renvoyer les utilisateurs vers des pages (URL) particulières au sein de votre application après avoir validé leurs jetons d’ID (authentification). Pour voir comment cela fonctionne, consultez React : guide de démarrage rapide de la connexion.

Rediriger les utilisateurs vers des URL de rappel sur la liste blanche.

Étant donné que les callback URL peuvent être manipulées par des parties non autorisées, Auth0 ne reconnaît que les URL de la liste blanche définies dans le champ URL de rappel autorisées des paramètres de l’application comme étant valides. Pour renvoyer les utilisateurs vers les URL de rappel de la liste blanche, il est nécessaire que votre application sache comment poursuivre le parcours de l’utilisateur. Il existe deux méthodes pour ce faire :
  • En utilisant des témoins et de sessions de navigation
  • En utilisant des paramètres state
Lors de l’authentification d’un utilisateur, le paramètre de requête redirect_uri est utilisé comme URL de rappel. C’est ici que votre application reçoit et traite la réponse provenant d’Auth0, et c’est souvent l’URL vers laquelle les utilisateurs sont redirigés une fois l’authentification terminée. Pour en savoir plus sur le fonctionnement de redirect_uri, veuillez consulter Cadre d’applications Authorization OAuth 2.0.
  • Témoin ou session du navigateur
  • Paramètres d’état
Vous pouvez utiliser un témoin ou la session du navigateur pour stocker une valeur d’URL de retour. Il s’agit d’une solution simple à mettre en œuvre, mais qui peut poser des problèmes dans les cas où le témoin ne persiste pas. Dans cette situation, deux sessions utilisateur distinctes sont initiées. Chacune d’entre elles a un objectif distinct et doit être prise en compte pour obtenir l’expérience utilisateur souhaitée.
  • Session SSO fournie par Auth0 : Auth0 fournit une session pour activer l’authentification unique (SSO) afin de permettre à votre utilisateur de maintenir une session d’authentification sans être invité à fournir ses informations d’identification plus d’une fois. Cette session est maintenue par Auth0 et référencée comme un témoin lié à votre domaine de locataire (ou CNAME). Il existe deux paramètres du locataire qui déterminent la durée de la session Auth0 :
    • La valeur idle_session_lifetime correspond au temps pendant lequel la session restera active, même sans interaction.
    • La valeur session_lifetime est la durée maximale pendant laquelle la session peut rester active.
    Ces paramètres s’appliquent à toutes les applications au sein de votre locataire et devraient être configurés de manière à correspondre au modèle de sécurité qui correspond à votre cas d’utilisation.
  • Session d’application : Votre application doit également conserver le concept de session. Tout au long de la session de l’utilisateur, votre application peut avoir besoin de demander des jetons supplémentaires ou de renouveler ceux qui ont expiré. Vous devez stocker ces jetons dans votre application et les référencer à l’aide d’un identifiant transmis au navigateur au moyen d’un témoin sécurisé.
Une fois que votre utilisateur s’est authentifié avec Auth0, il incombe à votre application de déterminer la durée de cette session.

Rediriger les utilisateurs vers d’autres URL

Parfois, l’URL de rappel n’est pas nécessairement l’endroit où vous souhaitez que les utilisateurs soient redirigés après l’authentification. Par exemple, si un utilisateur a l’intention d’accéder à une page protégée dans votre application et que cette action déclenche une demande d’authentification, vous pouvez stocker cette URL pour rediriger l’utilisateur vers la page voulue une fois l’authentification terminée. Stockez l’URL souhaitée en utilisant les méthodes suivantes : Sélectionnez l’option qui convient le mieux à votre type d’application et au type de flux que vous utilisez. Créez la logique nécessaire dans votre application pour récupérer les URL stockées et redirigez vos utilisateurs là où vous souhaitez qu’ils aillent. Les trousses SDK Auth0 incluent également la prise en charge des URL de redirection.

En savoir plus

I