Gérer les sessions utilisateur avec Auth0 Management API
Auth0 utilise des sessions pour maintenir l’état d’authentification d’un utilisateur à travers les requêtes.
Les points de terminaison de gestion de session de Management API Auth0 sont disponibles pour les clients du plan Enterprise. Pour en savoir plus, lisez Tarification.
Points de terminaison de Management API
Management API fournit un accès hors bande aux données internes des sessions utilisateur dans la Auth0 Session Layer (couche de session Auth0), ainsi que des méthodes de suppression pour forcer la fin des sessions.
Ressource de session
Vous pouvez afficher ou supprimer une session spécifique avec les points de terminaison suivants :
| Nom | URL | Permissions requises |
|---|---|---|
| Introspection d’une séance particulière par ID | GET /api/v2/sessions/{sessionId} |
read:sessions |
| Supprimer une séance particulière par ID | DELETE /api/v2/sessions/{sessionId} |
delete:sessions |
Ressource utilisateur
Vous pouvez lister ou supprimer toutes les sessions d’un utilisateur donné avec les points de terminaison suivants :
| Nom | URL | Permissions requises |
|---|---|---|
| Liste des sessions d’un utilisateur | GET /api/v2/users/{userId}/sessions |
read:sessions |
| Supprimer toutes les séances des utilisateurs | DELETE /api/v2/users/{userId}/sessions |
delete:sessions |
Propriétés de la session
Les points de terminaison de session renvoient des informations pertinentes sur la session et son historique.
| Champ | Description |
|---|---|
| ID de session | L’ID de session est un identifiant persistant de la session dans le locataire Auth0. Notez que l’ID de session correspond à la demande sid déjà présente dans les jetons d’ID et les jetons de déconnexion, et peut être utilisée comme référence croisée entre ces entités. |
| Moment opportun | Informations sur la création de session, le temps d’authentification et l’expiration. |
| Informations sur l’appareil | La propriété de l’appareil trace les détails liés à l’agent utilisateur (par exemple, le navigateur) utilisé dans les interactions avec cette session Auth0. |
| Informations d’authentification | Contient des informations condensées sur les méthodes utilisées pour s’authentifier dans cette session. |
Pour des informations détaillées sur ces champs, consultez la documentation de Management API.
Initiateurs de déconnexion par canal d’appui OIDC
Les événements de suppression de session sont liés à Déconnexion par canal d’appui de OIDC via l’initiateur session-deleted. Pour en savoir plus, consultez Initiateurs de déconnexion par canal d’appui OIDC.
Jetons de sessions et d’actualisation
Les sessions et les jetons d’actualisation collaborent pour faciliter l’authentification des utilisateurs tout en optimisant la sécurité. Pour en savoir plus, lisez Meilleures pratiques pour la gestion des sessions d’application sur le blog Auth0.
Les jetons d’actualisation peuvent rester actifs après qu’une session a expiré ou a été supprimée, ou après que l’utilisateur s’est déconnecté. Vous pouvez utiliser Management API pour gérer les jetons d’actualisation de manière indépendante ou en collaboration avec les sessions.
Limites
Les opérations de suppression de session s’exécutent de manière asynchrone et cohérente.