Sessions actives et déconnexion
Voir et révoquer vos appareils connectés.
PV-Express vous permet de visualiser à tout moment tous les appareils actuellement connectés à votre compte, et de révoquer ceux qui ne devraient pas y être : ordinateur professionnel oublié dans un cabinet client, téléphone perdu, navigateur public mal fermé, etc.
Cette fonctionnalité est disponible depuis Settings → Mon compte → Sessions actives.
Ce que vous voyez
Pour chaque session active, PV-Express affiche :
| Champ | Source | Exemple |
|---|---|---|
| Navigateur | User-Agent parsé | Chrome 142 sur macOS |
| Système | User-Agent parsé | macOS 15.4 |
| Adresse IP | Header X-Forwarded-For | 82.66.214.18 |
| Localisation approximative | Géo-IP MaxMind | Paris, FR |
| Première connexion | Timestamp création session | 27 avril 2026, 09:14 |
| Dernière activité | Timestamp dernier requête | il y a 12 minutes |
| Session courante | Comparaison cookie | Mention "Cet appareil" |
La géolocalisation est approximative (niveau ville, jamais GPS) et purement indicative. Elle s'appuie sur la base MaxMind GeoLite2, hébergée localement — aucun appel externe n'est fait à chaque chargement.
Révoquer une session
À droite de chaque ligne, le bouton Révoquer déconnecte
immédiatement l'appareil concerné. À sa prochaine requête, l'appareil
recevra une réponse 401 et sera redirigé vers /login.
La session courante (votre navigateur actuel) ne peut pas être révoquée individuellement depuis cette liste — c'est protégé pour éviter de vous déconnecter par accident. Pour vous déconnecter de l'appareil courant, utilisez simplement le bouton Déconnexion du menu utilisateur.
Une entrée session.revoke est ajoutée à
l'audit log avec le session_id ciblé et
votre IP.
Déconnecter tous mes appareils
Le bouton Déconnecter tous mes appareils (en bas de la page)
révoque toutes les sessions du compte, y compris la session
courante. Vous êtes immédiatement redirigé vers /login.
À utiliser :
- Si vous suspectez une compromission de votre compte
- Après avoir changé votre mot de passe
- Avant de partir en congés longs (hygiène basique)
- Si vous avez prêté votre laptop temporairement et que vous voulez être certain qu'aucune session n'est restée ouverte
Une entrée session.revoke_all est ajoutée à l'audit log avec le
nombre de sessions affectées.
Durée de vie des sessions
| Élément | Durée |
|---|---|
| Cookie de session | 30 jours glissants |
| Token JWT côté serveur | 1 heure (refresh automatique) |
| Inactivité maximale | 30 jours sans requête → expiration |
| Révocation manuelle | Effet immédiat |
Une session reste donc active tant qu'elle est utilisée au moins une fois tous les 30 jours. Au-delà, elle expire automatiquement et n'apparaît plus dans la liste.
Notification de connexion suspecte
Si une nouvelle session est ouverte depuis :
- Un nouveau pays par rapport à vos 30 derniers jours
- Un nouveau type d'appareil (ex : premier login mobile)
PV-Express envoie un email à l'adresse du compte avec :
- Date et heure
- Localisation approximative
- Navigateur et OS détectés
- Lien direct vers la page Sessions actives pour révoquer en 1 clic si vous ne reconnaissez pas la session
Accès aux sessions des membres (owner / manager)
Les owner et manager du cabinet ne peuvent pas voir les sessions des autres membres : c'est une donnée personnelle, propre à chaque utilisateur.
En cas de besoin (membre qui a perdu son laptop, départ d'un collaborateur), l'owner ou manager peut suspendre le compte du membre depuis Cabinet → Membres et équipe, ce qui révoque automatiquement toutes ses sessions.
Sécurité technique
- Les sessions sont stockées dans la table
pv_express.sessionsavec unsession_idaléatoire (256 bits). - Le cookie est
Secure,HttpOnly,SameSite=Lax. - Aucune session n'est partagée entre cabinets : un même utilisateur membre de deux cabinets a deux jeux de sessions distincts.
- Toute révocation est immédiate (pas de cache).