概要
重要なコンセプト
- 各種のセッション層を確認する
- ログアウト後にユーザーをリダイレクトする方法を確認する
- アプリケーションセッションレイヤー :最初のレイヤーはアプリケーションの内部セッションです。アプリケーションがAuth0を使用してユーザーを認証していたとしても、ユーザーがアプリケーションにログインしたことを追跡する必要があります。通常のWebアプリケーションでは、情報をクッキーに保存することでこれを達成します。セッションをクリアすることでユーザーをアプリケーションからログアウトします。アプリケーションセッションはアプリケーション内で処理する必要があります。
- Auth0セッションレイヤー :Auth0もユーザーのセッションを維持し、クッキー内にユーザーの情報を保管します。次回、ユーザーがAuth0のLock画面にリダイレクトされた時に、このユーザーの情報が使用されます。シングルサインオン(SSO)クッキーをクリアすることで、ユーザーをAuth0からログアウトします。
- IDプロバイダーセッションレイヤー :最後のセッションレイヤーはIDプロバイダーレイヤー(FacebookやGoogleなど)です。ユーザーがこれらのプロバイダーのいずれかでサインインを試みて、ユーザーがすでにプロバイダーにサインインしている場合、再度サインインを求められることはありません。ユーザーは、Auth0、そしてひいてはアプリケーションと、情報を共有するための許可を求められるかもしれません。このセッションレイヤーからユーザーをログアウトさせる必要はありませんが、必要であれば強制的にログアウトさせることができます(詳細については、「IDプロバイダーからユーザーをログアウトする」および「SAML IDプロバイダーからユーザーをログアウトする」をご覧ください)。