Tenemos un pequeño problema: al pulsar el botón de cerrar sesión, el usuario no queda desautenticado.
Nuestra configuración
Contamos con un frontend en Vue.js, donde puedes autenticarte mediante Auth0. Una vez que has iniciado sesión, puedes pulsar el botón del foro de mensajes y serás redirigido a nuestro tablero de Discourse, donde, nuevamente, te autenticarás con Auth0.
Cuando pulsas cerrar sesión en el foro de Discourse, aparece brevemente un cuadro de diálogo con un botón de actualizar, pero luego la página se actualiza automáticamente y carga el foro sin que el usuario haya cerrado sesión.
Aquí tienes una captura de pantalla de las llamadas del navegador. No estoy seguro de las llamadas de error en rojo, ya que parecen desencadenarse después de las llamadas de error en rojo nuevamente y luego parecen tener éxito.
Hmmm, el problema es que los usuarios sí se desconectan, pero luego se vuelven a conectar automáticamente de inmediato. Una solución es configurar la opción redirección al cerrar sesión hacia un sitio externo, para que la gente no vuelva a entrar directamente. O quizás incluso podrías configurarla en /login
Lo pensaré durante los próximos días y veremos si podemos encontrar una solución mejor. Es confuso tener un botón de cerrar sesión que no hace… nada.
Inicio de sesión único / una única estrategia de autenticación con inicios de sesión locales deshabilitados
Inicio de sesión obligatorio activado
¿Quizás podríamos añadir una advertencia en el panel de control cuando se cumplan ambas condiciones, indicando al usuario que configure correctamente la redirección de cierre de sesión en otro lugar? Es una configuración relativamente poco común, y el administrador podría dedicar unos 5 segundos adicionales a establecer la dirección de cierre de sesión.
@david Redirigir a la página de inicio de sesión es una buena solución, ¡gracias! Estoy de acuerdo con @Falco en que podría ser necesario mostrar una advertencia al configurarlo, ¡de lo contrario provoca un comportamiento extraño!
Como dijo @Falco, esto es bastante raro, pero creo que configuraré la redirección de salida predeterminada a /login para los sitios que requieren inicio de sesión: simple y directo, y así no dependemos de que la gente realmente lea una advertencia.
Correcto. Es un poco contraintuitivo, pero así es como siempre ha funcionado para SSO y, por lo tanto, es lo mismo para este nuevo modo de autenticador único.
