メインコンテンツへスキップ
Auth0 のセッションライフサイクルは、ユーザーがログインした時点で開始し、ユーザーの操作によってアクティブな状態が維持され、セッションが期限切れになるか明示的に終了されると終わります。 Auth0 は、ユーザーが認可サーバーとやり取りしている間、そのセッションをアクティブであると見なします。 例: セッションは永続セッションまたは非永続セッションにできます。これにより、ブラウザー内でセッションクッキーがどのように動作するかを構成できます。
  • 永続セッション は、将来の有効期限タイムスタンプを持つクッキーを保存します。
  • 非永続セッション は、Expires=0 を指定したクッキーを保存します。これは、ブラウザーを閉じたときにクッキーを削除するようにブラウザーに指示します。
セッションクッキーの保持動作は、ブラウザーの実装に依存します。Auth0 は、すべてのブラウザーが期待どおりに非永続クッキーを削除することを保証できません。 詳しくは、Cookies を参照してください。

セッション有効期間

永続セッションと非永続セッションそれぞれについて、アイドル時および絶対(最大)の有効期間を個別に設定し、セッションの有効期限を定義できます。

アイドルタイムアウト

アイドルタイムアウトは、許可される非アクティブ状態の最大継続時間を指定します。ユーザーが Single Sign-On (SSO)、サイレント認証、または /authorize を通じて Auth0 とやり取りするたびに、アイドルタイマーはリセットされます。設定された期間中に Auth0 とのやり取りが発生しない場合、セッションは期限切れになります。

絶対タイムアウト(最大)

絶対タイムアウトは、ユーザーのアクティビティに関係なく、セッションが有効でいられる最長時間を定義します。絶対タイムアウトに達するとセッションは期限切れとなり、ユーザーは再認証する必要があります。 詳細は、セッションの有効期間の設定を参照してください。

セッションの有効期間の上限

セッションの有効期間には、次の上限があります。
セッションの種類タイムアウトの種類説明最大値(セルフサービスプラン)最大値(エンタープライズプラン)
非永続非アクティブタイムアウト認可サーバーとのやり取りがない状態が続いた場合に、セッションが失効するまでの時間3日100日
指定期間後にログインを要求アクティビティに関係なく、セッションが維持される最大期間30日365日
永続非アクティブタイムアウト認可サーバーとのやり取りがない状態が続いた場合に、セッションが失効するまでの時間3日100日
指定期間後にログインを要求アクティビティに関係なく、セッションが維持される最大期間30日365日

次のステップ

  • Actions を使用してセッションのライフサイクルを設定する方法について詳しくは、Sessions with Actions を参照してください。
  • Auth0 Management API のセッション管理エンドポイントについて詳しくは、Sessions with Management API を参照してください。