Anwendungsdatenstruktur

Einführung

In Logto bezieht sich eine Anwendung auf ein spezifisches Softwareprogramm oder einen Dienst, der bei der Logto-Plattform registriert ist und die Berechtigung erhalten hat, auf Benutzerinformationen zuzugreifen oder Aktionen im Namen eines Benutzers auszuführen. Anwendungen werden verwendet, um die Quelle von Anfragen an die Logto API zu identifizieren sowie den Authentifizierungs- und Autorisierungsprozess für Benutzer zu verwalten, die auf diese Anwendungen zugreifen.

Die Verwendung von Anwendungen in Logtos Anmeldeerfahrung ermöglicht es Benutzern, ihre autorisierten Anwendungen von einem einzigen Ort aus einfach zu verwalten und darauf zuzugreifen, mit einem konsistenten und sicheren Authentifizierungsprozess. Dies trägt dazu bei, die Benutzererfahrung zu optimieren und sicherzustellen, dass nur autorisierte Personen auf sensible Informationen zugreifen oder im Namen der Organisation handeln.

Anwendungen werden auch in Logtos Prüfprotokollen verwendet, um Benutzeraktivitäten zu verfolgen und potenzielle Sicherheitsbedrohungen oder -verletzungen zu identifizieren. Indem spezifische Aktionen mit einer bestimmten Anwendung verknüpft werden, kann Logto detaillierte Einblicke darüber geben, wie Daten zugegriffen und verwendet werden, was es Organisationen ermöglicht, ihre Sicherheits- und Compliance-Anforderungen besser zu verwalten. Wenn du deine Anwendung mit Logto integrieren möchtest, siehe Integrate Logto.

Eigenschaften

Anwendungs-ID

Anwendungs-ID ist ein einzigartiger automatisch generierter Schlüssel, um deine Anwendung in Logto zu identifizieren, und wird in OAuth 2.0 als client id referenziert.

Anwendungstypen

Eine Anwendung kann einer der folgenden Anwendungstypen sein:

Native App ist eine App, die in einer nativen Umgebung läuft. Z.B. iOS-App, Android-App.
Single Page App ist eine App, die in einem Webbrowser läuft und die Seite mit neuen Daten vom Server aktualisiert, ohne ganze neue Seiten zu laden. Z.B. React DOM App, Vue App.
Traditionelle Web-App ist eine App, die Seiten ausschließlich vom Webserver rendert und aktualisiert. Z.B. JSP, PHP.
Maschine-zu-Maschine (M2M) App ist eine Anwendung, die in einer Maschinenumgebung für direkte Dienst-zu-Dienst-Kommunikation ohne Benutzerinteraktion läuft.

Anwendungsschlüssel

Anwendungsschlüssel ist ein Schlüssel, der verwendet wird, um die Anwendung im Authentifizierungssystem zu authentifizieren, speziell für private Clients (Traditionelle Web- und M2M-Apps) als private Sicherheitsbarriere.

Anwendungsname

Anwendungsname ist ein menschenlesbarer Name der Anwendung und wird in der Admin-Konsole angezeigt.

Der Anwendungsname ist ein wichtiger Bestandteil der Verwaltung von Anwendungen in Logto, da er Administratoren ermöglicht, die Aktivität einzelner Anwendungen innerhalb der Plattform leicht zu identifizieren und zu verfolgen.

Es ist wichtig zu beachten, dass der _Anwendungsname_ sorgfältig gewählt werden sollte, da er für alle Benutzer sichtbar ist, die Zugriff auf die Admin-Konsole haben. Er sollte den Zweck und die Funktion der Anwendung genau widerspiegeln und gleichzeitig leicht verständlich und erkennbar sein.

Beschreibung

Eine kurze Beschreibung der Anwendung wird auf der Detailseite der Admin-Konsole angezeigt. Die Beschreibung soll Administratoren zusätzliche Informationen über die Anwendung bieten, wie ihren Zweck, ihre Funktionalität und andere relevante Details.

Umleitungs-URIs

Umleitungs-URIs sind eine Liste gültiger Umleitungs-URIs, die für eine Anwendung vorkonfiguriert wurden. Wenn sich ein Benutzer bei Logto anmeldet und versucht, auf die Anwendung zuzugreifen, wird er zu einem der in den Anwendungseinstellungen angegebenen erlaubten URIs umgeleitet.

Die Liste der erlaubten URIs wird verwendet, um den Umleitungs-URI zu validieren, der in der Autorisierungsanfrage enthalten ist, die von der Anwendung während des Authentifizierungsprozesses an Logto gesendet wird. Wenn der in der Autorisierungsanfrage angegebene Umleitungs-URI mit einem der erlaubten URIs in den Anwendungseinstellungen übereinstimmt, wird der Benutzer nach erfolgreicher Authentifizierung zu diesem URI umgeleitet. Wenn der Umleitungs-URI nicht auf der erlaubten Liste steht, wird der Benutzer nicht umgeleitet und der Authentifizierungsprozess schlägt fehl.

Es ist wichtig sicherzustellen, dass alle gültigen Umleitungs-URIs zur erlaubten Liste für eine Anwendung in Logto hinzugefügt werden, um sicherzustellen, dass Benutzer nach der Authentifizierung erfolgreich auf die Anwendung zugreifen können.

Du kannst den Redirection endpoint für weitere Informationen überprüfen.

Post-Sign-out-Umleitungs-URIs

Post-Sign-out-Umleitungs-URIs sind eine Liste gültiger URIs, die für eine Anwendung vorkonfiguriert wurden, um den Benutzer nach dem Abmelden von Logto umzuleiten.

Die Verwendung von erlaubten Post-Sign-out-Umleitungs-URIs für Logout ist Teil der RP-Initiated (Relying Party Initiated) Logout-Spezifikation in OIDC. Diese Spezifikation bietet eine standardisierte Methode für Anwendungen, um eine Abmeldeanforderung für einen Benutzer zu initiieren, die das Umleiten des Benutzers zu einem vorkonfigurierten Endpunkt nach dem Abmelden umfasst.

Wenn sich ein Benutzer von Logto abmeldet, wird seine Sitzung beendet und er wird zu einem der in den Anwendungseinstellungen angegebenen erlaubten URIs umgeleitet. Dies stellt sicher, dass der Benutzer nur zu autorisierten und gültigen Endpunkten umgeleitet wird, nachdem er sich abgemeldet hat, und hilft, unbefugten Zugriff und Sicherheitsrisiken zu verhindern, die mit der Umleitung von Benutzern zu unbekannten oder nicht verifizierten Endpunkten verbunden sind.

Du kannst den RP-initiated logout für weitere Informationen überprüfen.

CORS erlaubte Ursprünge

Die CORS (Cross-origin resource sharing) erlaubten Ursprünge sind eine Liste von erlaubten Ursprüngen, von denen aus eine Anwendung Anfragen an den Logto-Dienst stellen kann. Jeder Ursprung, der nicht in der erlaubten Liste enthalten ist, kann keine Anfragen an den Logto-Dienst stellen.

Die Liste der CORS erlaubten Ursprünge wird verwendet, um den Zugriff auf den Logto-Dienst von unbefugten Domains zu beschränken und um Cross-Site-Request-Forgery (CSRF)-Angriffe zu verhindern. Indem die erlaubten Ursprünge für eine Anwendung in Logto angegeben werden, kann der Dienst sicherstellen, dass nur autorisierte Domains Anfragen an den Dienst stellen können.

Die Liste der erlaubten Ursprünge sollte den Ursprung enthalten, von dem aus die Anwendung bereitgestellt wird. Dies stellt sicher, dass Anfragen von der Anwendung erlaubt sind, während Anfragen von unbefugten Ursprüngen blockiert werden.

OpenID Provider Konfigurationsendpunkt

Der Endpunkt für OpenID Connect Discovery.

Autorisierungsendpunkt

Autorisierungsendpunkt ist ein OIDC-Begriff und ein erforderlicher Endpunkt, der verwendet wird, um den Authentifizierungsprozess für einen Benutzer zu initiieren. Wenn ein Benutzer versucht, auf eine geschützte Ressource oder Anwendung zuzugreifen, die bei der Logto-Plattform registriert ist, wird er zum Autorisierungsendpunkt umgeleitet, um seine Identität zu authentifizieren und die Berechtigung zu erhalten, auf die angeforderte Ressource zuzugreifen.

Du kannst den Authorization Endpoint für weitere Informationen überprüfen.

Token-Endpunkt

Token-Endpunkt ist ein OIDC-Begriff, es ist ein Web-API-Endpunkt, der von einem OIDC-Client verwendet wird, um ein Zugangstoken, ein ID-Token oder ein Auffrischungstoken von einem OIDC-Anbieter zu erhalten.

Wenn ein OIDC-Client ein Zugangstoken oder ID-Token benötigt, sendet er eine Anfrage an den Token-Endpunkt mit einem Autorisierungsnachweis, der typischerweise ein Autorisierungscode oder ein Auffrischungstoken ist. Der Token-Endpunkt validiert dann den Autorisierungsnachweis und stellt dem Client ein Zugangstoken oder ID-Token aus, wenn der Nachweis gültig ist.

Du kannst den Token Endpoint für weitere Informationen überprüfen.

Userinfo-Endpunkt

Der OpenID Connect UserInfo Endpoint.

Immer Auffrischungstoken ausstellen

Verfügbarkeit: Traditionelle Web-, SPA

Wenn aktiviert, wird Logto immer Auffrischungstokens ausstellen, unabhängig davon, ob prompt=consent in der Authentifizierungsanfrage präsentiert wird oder offline_access in den Berechtigungen enthalten ist.

Diese Praxis wird jedoch nicht empfohlen, es sei denn, sie ist notwendig (normalerweise ist sie nützlich für einige Drittanbieter-OAuth-Integrationen, die ein Auffrischungstoken erfordern), da sie nicht mit OpenID Connect kompatibel ist und potenziell Probleme verursachen kann.

Auffrischungstoken rotieren

Standard: true

Wenn aktiviert, wird Logto ein neues Auffrischungstoken für Token-Anfragen unter den folgenden Bedingungen ausstellen:

Wenn das Auffrischungstoken rotiert wurde (seine TTL durch die Ausstellung eines neuen verlängert wurde) für ein Jahr; ODER
Wenn das Auffrischungstoken nahe an seiner Ablaufzeit ist (>=70% seiner ursprünglichen Lebensdauer (TTL) vergangen); ODER
Wenn der Client ein öffentlicher Client ist, z.B. Native Anwendung oder Single Page Application (SPA).

hinweis

Für öffentliche Clients wird, wenn diese Funktion aktiviert ist, immer ein neues Auffrischungstoken ausgestellt, wenn der Client ein neues Zugangstoken mit dem Auffrischungstoken austauscht. Obwohl du die Funktion für diese öffentlichen Clients immer noch deaktivieren kannst, wird dringend empfohlen, sie aus Sicherheitsgründen aktiviert zu lassen.

Auffrischungstoken Lebensdauer (TTL) in Tagen

Verfügbarkeit: Nicht SPA; Standard: 14 Tage

Die Dauer, für die ein Auffrischungstoken verwendet werden kann, um neue Zugangstokens anzufordern, bevor es abläuft und ungültig wird. Token-Anfragen verlängern die TTL des Auffrischungstokens auf diesen Wert.

Typischerweise wird ein niedrigerer Wert bevorzugt.

Hinweis: Die TTL-Auffrischung ist in SPA (Single Page App) aus Sicherheitsgründen nicht verfügbar. Das bedeutet, dass Logto die TTL nicht durch Token-Anfragen verlängern wird. Um die Benutzererfahrung zu verbessern, kannst du die Funktion "Auffrischungstoken rotieren" aktivieren, die es Logto ermöglicht, bei Bedarf ein neues Auffrischungstoken auszustellen.

Backchannel-Logout-URI

Der OpenID Connect Backchannel-Logout-Endpunkt. Siehe Federated sign-out: Back-channel logout für weitere Informationen.

Benutzerdefinierte Daten

Zusätzliche benutzerdefinierte Anwendungsinformationen, die nicht in den vordefinierten Anwendungseigenschaften aufgeführt sind. Benutzer können ihre eigenen benutzerdefinierten Datenfelder entsprechend ihren spezifischen Bedürfnissen definieren, wie z.B. geschäftsspezifische Einstellungen und Konfigurationen.

Einführung​

Eigenschaften​

Anwendungs-ID​

Anwendungstypen​

Anwendungsschlüssel​

Anwendungsname​

Beschreibung​

Umleitungs-URIs​

Post-Sign-out-Umleitungs-URIs​

CORS erlaubte Ursprünge​

OpenID Provider Konfigurationsendpunkt​

Autorisierungsendpunkt​

Token-Endpunkt​

Userinfo-Endpunkt​

Immer Auffrischungstoken ausstellen​

Auffrischungstoken rotieren​

Auffrischungstoken Lebensdauer (TTL) in Tagen​

Backchannel-Logout-URI​

Benutzerdefinierte Daten​