- Inactivity timeout(非アクティブタイムアウト) :セッションクッキーが認可サーバーと対話しなくなってから、ユーザーのセッションが失効するまでの時間です。セルフサービスプランでは3日、エンタープライズプランでは100日を超えると、システム制限によって置き換えられます。
- Require log in after(ログインを要求する経過時間) :アクティビティにかかわらず、ユーザーに再ログインを求めるまでの時間です。セルフサービスプランでは30日、エンタープライズプランでは365日を超えると、システム制限によって置き換えられます。
- [Inactivity timeout(非アクティブタイムアウト)] の制限を3日、[Require log in after(経過時間後ログインを要求)] の制限を30日に設定します。
-
ユーザーがログインすると、入力済みの値がセッションに設定されます。
- ユーザーが [Inactivity timeout(非アクティブタイムアウト)] に設定された3日の制限内にアクティブになると、セッションライフタイムがさらに3日延長されます。その後はユーザーが3日の間にアクティブになるたびにセッションライフタイムが3日延長され続け、[Require log in after(経過時間後ログインを要求)] で設定した期限に達すると、セッションが終了します。そして、ユーザーに再度ログインすることが求められます。
- ユーザーの非アクティブ状態が3日間続いた場合には、自動的にログアウトします。
- ユーザーがログインしている間に、既存のセッションのライフタイムを長く設定したとします。新しい設定は、既存のセッションが終了して、ユーザーが再度ログインするまで適用されません。
- ユーザーがログインしている間に、既存のセッションのライフタイムを短く設定したとします。新しい設定は、ユーザーが次に操作を行うと即座に適用されます。これにより、セキュリティ上の目的でセッションライフタイムが短縮できるようになります。
アプリケーション特有のログアウトURL
アプリケーション特有のログアウトURLを使用する際には、以下の2点を考慮することが重要です。/oidc/logoutエンドポイントを呼び出すには、client_idをクエリパラメーターとして送信する必要があります 。また、アプリケーションの[Allowed Logout URLs(許可されているログアウトURL)]のリストにid_token_hintのURLが含まれていなければなりません。- これにより、テナントの全体でAuth0セッションが終了します。つまり、指定された
client_idに一致するアプリケーションだけでなく、定義されたすべてのアプリケーションで終了することになります。client_idを渡すと、どこでログアウトURLのホワイトリストを探せばいいのかが/logoutエンドポイントに分かるようになります。
- Inactivity Timer(非アクティブタイマー) :React SDKラッパーに回転式のタイマーを追加します。このタイマーのタイムリミットはAuth0セッションの非アクティブライフタイムの上限と一致します。トークンがアプリケーションに返されるたびに、タイマーがリセットされます。
-
Timeout Modal(タイムアウトモーダル) :タイマーで期限切れから60秒が経過すると、ユーザーにログアウトまたはセッションの継続を求めるタイムアウトモーダルを表示します。
- Continue the session(セッションを継続):ユーザーがセッションの継続を選択した場合には、
getTokenSilently()メソッドを使用して、ユーザーを現在表示中のページからリダイレクトすることなく、新しいトークンを要求します。 - Logging out(ログアウト):ユーザーがログアウトを選択した場合には、
logout()メソッドを呼び出して、Auth0セッションも確実に終了させます。 - Idle Timeout(アイドルタイムアウト):アイドルタイムアウトの期限に達した場合、即座に対処する必要はありません。ユーザーが別のタブでまだアクティブである可能性に対処するために、ユーザーをログアウトさせる動作にしては いけません。
- ログインボタンのあるモーダルを更新したり、window.onfocusイベントで
getTokenSilently()をトリガーしたり、ユーザーをランディングページにリダイレクトしたりなどの方法を採用してください。
- Continue the session(セッションを継続):ユーザーがセッションの継続を選択した場合には、