Migration vers l’expiration d’une heure du flux de connexion

Depuis le 21 février 2024, Auth0 impose une durée de vie maximale d’une heure aux flux de connexion de type redirection. Les flux de connexion qui prennent plus d’une heure expirent avec la connexion universelle et la connexion classique.

Actuellement, Auth0 permet à certains flux de connexion interactifs de durer jusqu’à trois jours :

• Flux de code d’autorisation

• Flux de code d’autorisation avec PKCE

• Authentification inter-origine

• Flux d’autorisation d’appareil

• Flux hybride

• Flux implicite avec Form Post

• Security Assertion Markup Language (SAML)

• Web Services Federation Protocol (WS-Fed)

Depuis le 21 février 2024, Auth0 impose une durée de vie maximale d’une heure aux flux d’autorisation répertoriés. Les transactions expirent après une heure. Après l’expiration, les opérations effectuées par l’utilisateur final à partir du navigateur, comme la saisie d’un courriel et d’un mot de passe, le renvoi à Auth0 Actions, etc., seront :

• redirigées vers le chemin de connexion par défaut de l’application pour réinitialiser le flux en tant que nouvelle transaction de connexion ou

• elles afficheront une page d’erreur si vous n’avez pas configuré la route de connexion par défaut de l’application ou si vous utilisez la connexion classique. L’utilisateur final doit retourner dans votre application afin de redémarrer la procédure de connexion. Vous pouvez personnaliser cette page d’erreur en utilisant la connexion universelle.

Lorsque vous redirigez les utilisateurs après la déconnexion, redirigez-les vers une page de votre application qui leur permet de se connecter à nouveau en fonction d’une action (par exemple, en cliquant sur le bouton Connexion) plutôt que de les rediriger directement vers le point de terminaison de connexion universelle /authorize. Le lancement d’une nouvelle connexion sans intervention de l’utilisateur est la principale cause de ralentissement des transactions, car une nouvelle tentative de connexion est laissée sans surveillance dans une fenêtre du navigateur et peut faire l’objet d’attaques malveillantes.

Si vous utilisez la connexion universelle :

• Nous vous recommandons de configurer des chemins de connexion par défaut pour vos applications dans Auth0 Dashboard ou via Auth0 Management API. Cette méthode lance automatiquement les transactions de connexion et offre la meilleure expérience à l’utilisateur, car le flux de connexion redémarre de manière transparente pour les utilisateurs finaux actifs lorsque la transaction a expiré.

• Si votre configuration ne permet pas les chemins de connexion par défaut, nous vous recommandons de personnaliser les pages d’erreur Auth0 pour offrir une meilleure expérience utilisateur. Vous pouvez utiliser les pages d’erreur pour demander à l’utilisateur de revenir à votre application afin de redémarrer la tentative de connexion.

• Si vous ne réalisez pas l’une ou l’autre des opérations ci-dessus, nous afficherons la page d’erreur Auth0 par défaut :

Si vous utilisez la connexion classique, le gadget logiciel de connexion affichera une erreur. L’utilisateur devra alors retourner à l’application et recommencer la procédure pour effectuer la transaction, puisqu’elle est expirée.

Pour obtenir des détails sur le nombre de transactions et d’applications touchées dans votre locataire, veuillez consulter les journaux de votre locataire sous Auth0 Dashboard > Suivi > Journaux. Recherchez les journaux Deprecation Notice avec cette recherche : type:depnote AND description:*Long*state*expirations*. Ces résultats vont pointer vers les transactions de connexion et les applications (c.-à-d. client_id) qui durent plus d’une heure.

Notez que ces journaux sont soumis à la limite anti-attaques et vous en verrez un par heure par client_id.

Après avoir configuré les chemins de connexion par défaut ou mis à jour les pages d’erreur Auth0 avec des instructions particulières pour vos utilisateurs finaux, vous pouvez activer ou désactiver l’expiration à tout moment avant le 21 février 2024 pour vérifier le comportement de connexion.

1. Rendez-vous à la section Auth0 Dashboard > Paramètres du locataire > Avancés et recherchez la section Migrations.

2. Désactivez Long state expirations (délais d’expiration longs). En désactivant ce paramètre, les transactions seront limitées à une heure. En activant ce paramètre, les transactions peuvent s’étendre sur une période allant jusqu’à trois jours.