Authentifizierung zu deiner Capacitor JS-Anwendung hinzufügen
- Die folgende Demonstration basiert auf Capacitor JS 5.0.6.
Voraussetzungen
- Ein Logto Cloud Konto oder ein selbst gehostetes Logto.
- Eine Logto native Anwendung erstellt.
Installation
Installiere das Logto SDK und die Peer-Abhängigkeiten über deinen bevorzugten Paketmanager:
- npm
- Yarn
- pnpm
npm i @logto/capacitor
npm i @capacitor/browser @capacitor/app @capacitor/preferences
yarn add @logto/capacitor
yarn add @capacitor/browser @capacitor/app @capacitor/preferences
pnpm add @logto/capacitor
pnpm add @capacitor/browser @capacitor/app @capacitor/preferences
Das Paket @logto/capacitor ist das SDK für Logto. Die verbleibenden Pakete sind dessen Peer-Abhängigkeiten.
Integration
Logto-Client initialisieren
Füge den folgenden Code zu deinem Capacitor-Projekt hinzu:
import LogtoClient, { type LogtoConfig } from '@logto/capacitor';
const logtoConfig: LogtoConfig = {
endpoint: '<your-logto-endpoint>',
appId: '<your-application-id>',
};
const logtoClient = new LogtoClient(config);
Anmeldung implementieren
Bevor wir in die Details eintauchen, hier ein kurzer Überblick über die Endbenutzererfahrung. Der Anmeldeprozess kann wie folgt vereinfacht werden:
- Deine App ruft die Anmeldemethode auf.
- Der Benutzer wird zur Logto-Anmeldeseite umgeleitet. Bei nativen Apps wird der Systembrowser geöffnet.
- Der Benutzer meldet sich an und wird zurück zu deiner App umgeleitet (konfiguriert als die Redirect-URI).
Bezüglich der umleitungsbasierten Anmeldung
- Dieser Authentifizierungsprozess folgt dem OpenID Connect (OIDC) Protokoll, und Logto erzwingt strenge Sicherheitsmaßnahmen, um die Benutzeranmeldung zu schützen.
- Wenn du mehrere Apps hast, kannst du denselben Identitätsanbieter (Logto) verwenden. Sobald sich der Benutzer bei einer App anmeldet, wird Logto den Anmeldeprozess automatisch abschließen, wenn der Benutzer auf eine andere App zugreift.
Um mehr über die Gründe und Vorteile der umleitungsbasierten Anmeldung zu erfahren, siehe Logto-Anmeldeerfahrung erklärt.
Nun lass uns die Redirect-URI konfigurieren. Die Redirect-URI wird verwendet, um den Benutzer nach dem Authentifizierungsablauf zurück zu deiner Anwendung zu leiten.
Stelle sicher, dass die URI zur Capacitor-App umleitet, zum Beispiel com.example.app://callback. Der Wert kann je nach Konfiguration deiner Capacitor-App variieren. Für weitere Details siehe Capacitor Deep Links.
Füge dann den folgenden Code zum onClick-Handler des Anmelde-Buttons hinzu:
const onClick = async () => {
await logtoClient.signIn('com.example.app://callback');
console.log(await logtoClient.isAuthenticated()); // true
console.log(await logtoClient.getIdTokenClaims()); // { sub: '...', ... }
};
Abmeldung implementieren
Da Capacitor den Safari View Controller auf iOS und Chrome Custom Tabs auf Android nutzt, kann der Authentifizierungsstatus eine Weile bestehen bleiben. Manchmal möchte der Benutzer jedoch sofort aus der Anwendung abgemeldet werden. In diesem Fall können wir die signOut-Methode verwenden, um den Benutzer abzumelden:
const onClick = async () => {
await logtoClient.signOut();
console.log(await logtoClient.isAuthenticated()); // false
};
Die signOut-Methode hat einen optionalen Parameter für die Redirect-URI nach der Abmeldung. Wenn dieser nicht angegeben wird, wird der Benutzer zur Logto-Abmeldeseite weitergeleitet.
Der Benutzer muss auf "Fertig" klicken, um die Webansicht zu schließen und zur Capacitor-App zurückzukehren. Wenn du den Benutzer automatisch zurück zur Capacitor-App umleiten möchtest, kannst du die Redirect-URI nach der Abmeldung angeben, zum Beispiel com.example.app://callback/sign-out.
Stelle sicher, dass die Redirect-URI nach der Abmeldung zur Capacitor-App umleiten kann. Füge dann den folgenden Code zum onClick-Handler des Abmelde-Buttons hinzu:
const onClick = async () => {
await logtoClient.signOut('com.example.app://callback/sign-out');
};
Checkpoint: Den Authentifizierungsablauf auslösen
Führe die Capacitor-App aus und klicke auf den Anmelde-Button. Ein Browserfenster wird geöffnet und zur Logto-Anmeldeseite umgeleitet.
Wenn der Benutzer das Browserfenster schließt, ohne den Authentifizierungsablauf abzuschließen, erhält die Capacitor-App einen LogtoClientError.
Benutzerinformationen abrufen
Benutzerinformationen anzeigen
Um die Informationen des Benutzers anzuzeigen, kannst du die Methode getIdTokenClaims() verwenden. Zum Beispiel in einer Capacitor-App:
const userClaims = await logtoClient.getIdTokenClaims();
console.log(userClaims);
Zusätzliche Ansprüche anfordern
Möglicherweise fehlen einige Benutzerinformationen im zurückgegebenen Objekt von client.getIdTokenClaims(). Dies liegt daran, dass OAuth 2.0 und OpenID Connect (OIDC) so konzipiert sind, dass sie dem Prinzip der minimalen Rechte (PoLP) folgen, und Logto auf diesen Standards basiert.
Standardmäßig werden begrenzte Ansprüche zurückgegeben. Wenn du mehr Informationen benötigst, kannst du zusätzliche Berechtigungen anfordern, um auf mehr Ansprüche zuzugreifen.
Ein "Anspruch (Claim)" ist eine Behauptung über ein Subjekt; eine "Berechtigung (Scope)" ist eine Gruppe von Ansprüchen. Im aktuellen Fall ist ein Anspruch ein Informationsstück über den Benutzer.
Hier ist ein nicht-normatives Beispiel für die Beziehung zwischen Berechtigung und Anspruch:
Der "sub"-Anspruch bedeutet "Subjekt", was der eindeutige Identifikator des Benutzers ist (d. h. Benutzer-ID).
Das Logto SDK wird immer drei Berechtigungen anfordern: openid, profile und offline_access.
Um zusätzliche Berechtigungen anzufordern, kannst du die Berechtigungen an das LogtoConfig-Objekt übergeben, wenn du den Client initialisierst. Zum Beispiel:
const logtoConfig = {
scopes: ['email', 'phone', 'custom_data', 'organizations'],
};
Dann kannst du auf die zusätzlichen Ansprüche im Rückgabewert von client.getIdTokenClaims() zugreifen:
Ansprüche, die Netzwerk-Anfragen benötigen
Um das ID-Token nicht aufzublähen, erfordern einige Ansprüche Netzwerk-Anfragen, um abgerufen zu werden. Zum Beispiel ist der custom_data Anspruch nicht im Benutzerobjekt enthalten, selbst wenn er in den Berechtigungen angefordert wird. Um auf diese Ansprüche zuzugreifen, kannst du die client.fetchUserInfo() Methode verwenden:
const userInfo = await logtoClient.fetchUserInfo();
console.log(userInfo);
Berechtigungen und Ansprüche
Logto verwendet OIDC Berechtigungen und Ansprüche Konventionen, um die Berechtigungen und Ansprüche für das Abrufen von Benutzerinformationen aus dem ID-Token und dem OIDC userinfo endpoint zu definieren. Sowohl "Berechtigung (Scope)" als auch "Anspruch (Claim)" sind Begriffe aus den OAuth 2.0 und OpenID Connect (OIDC) Spezifikationen.
Kurz gesagt, wenn du eine Berechtigung anforderst, erhältst du die entsprechenden Ansprüche in den Benutzerinformationen. Zum Beispiel, wenn du die `email` Berechtigung anforderst, erhältst du die `email` und `email_verified` Daten des Benutzers.
Standardmäßig fordert das Logto SDK immer drei Berechtigungen an: `openid`, `profile` und `offline_access`, und es gibt keine Möglichkeit, diese Standardberechtigungen zu entfernen. Aber du kannst weitere Berechtigungen hinzufügen, wenn du Logto konfigurierst:
import { type LogtoConfig, UserScope } from '@logto/capacitor';
const config: LogtoConfig = {
// ...other options
scopes: [UserScope.Email, UserScope.Phone], // Füge die benötigten Berechtigungen hinzu
};
Hier ist die Liste der unterstützten Berechtigungen (Scopes) und der entsprechenden Ansprüche (Claims):
openid
| Anspruchsname | Typ | Beschreibung | Benötigt userinfo? |
|---|---|---|---|
| sub | string | Der eindeutige Identifikator des Benutzers | Nein |
profile
| Anspruchsname | Typ | Beschreibung | Benötigt userinfo? |
|---|---|---|---|
| name | string | Der vollständige Name des Benutzers | Nein |
| username | string | Der Benutzername des Benutzers | Nein |
| picture | string | URL des Profilbildes des Endbenutzers. Diese URL MUSS auf eine Bilddatei (zum Beispiel eine PNG-, JPEG- oder GIF-Bilddatei) verweisen und nicht auf eine Webseite, die ein Bild enthält. Beachte, dass diese URL speziell auf ein Profilfoto des Endbenutzers verweisen SOLLTE, das geeignet ist, den Endbenutzer zu beschreiben, und nicht auf ein beliebiges Foto, das vom Endbenutzer aufgenommen wurde. | Nein |
| created_at | number | Zeitpunkt, zu dem der Endbenutzer erstellt wurde. Die Zeit wird als Anzahl der Millisekunden seit der Unix-Epoche (1970-01-01T00:00:00Z) dargestellt. | Nein |
| updated_at | number | Zeitpunkt, zu dem die Informationen des Endbenutzers zuletzt aktualisiert wurden. Die Zeit wird als Anzahl der Millisekunden seit der Unix-Epoche (1970-01-01T00:00:00Z) dargestellt. | Nein |
Andere Standardansprüche wie family_name, given_name, middle_name, nickname, preferred_username, profile, website, gender, birthdate, zoneinfo und locale werden ebenfalls im profile-Scope enthalten sein, ohne dass der userinfo-Endpunkt angefordert werden muss. Ein Unterschied im Vergleich zu den oben genannten Ansprüchen besteht darin, dass diese Ansprüche nur zurückgegeben werden, wenn ihre Werte nicht leer sind, während die oben genannten Ansprüche null zurückgeben, wenn die Werte leer sind.
Im Gegensatz zu den Standardansprüchen verwenden die Ansprüche created_at und updated_at Millisekunden anstelle von Sekunden.
email
| Anspruchsname | Typ | Beschreibung | Benötigt userinfo? |
|---|---|---|---|
string | Die E-Mail-Adresse des Benutzers | Nein | |
| email_verified | boolean | Ob die E-Mail-Adresse verifiziert wurde | Nein |
phone
| Anspruchsname | Typ | Beschreibung | Benötigt userinfo? |
|---|---|---|---|
| phone_number | string | Die Telefonnummer des Benutzers | Nein |
| phone_number_verified | boolean | Ob die Telefonnummer verifiziert wurde | Nein |
address
Bitte siehe OpenID Connect Core 1.0 für die Details des Adressanspruchs.
custom_data
| Anspruchsname | Typ | Beschreibung | Benötigt userinfo? |
|---|---|---|---|
| custom_data | object | Die benutzerdefinierten Daten des Benutzers | Ja |
identities
| Anspruchsname | Typ | Beschreibung | Benötigt userinfo? |
|---|---|---|---|
| identities | object | Die verknüpften Identitäten des Benutzers | Ja |
| sso_identities | array | Die verknüpften SSO-Identitäten des Benutzers | Ja |
urn:logto:scope:organizations
| Anspruchsname | Typ | Beschreibung | Benötigt userinfo? |
|---|---|---|---|
| organizations | string[] | Die Organisations-IDs, denen der Benutzer angehört | Nein |
| organization_data | object[] | Die Organisationsdaten, denen der Benutzer angehört | Ja |
urn:logto:scope:organization_roles
| Anspruchsname | Typ | Beschreibung | Benötigt userinfo? |
|---|---|---|---|
| organization_roles | string[] | Die Organisationsrollen, denen der Benutzer angehört, im Format <organization_id>:<role_name> | Nein |
In Anbetracht der Leistung und der Datengröße bedeutet "Benötigt userinfo?" "Ja", dass der Anspruch nicht im ID-Token angezeigt wird, sondern in der Antwort des userinfo-Endpunkts zurückgegeben wird.
API-Ressourcen und Organisationen
Wir empfehlen, zuerst 🔐 Rollenbasierte Zugangskontrolle (RBAC) zu lesen, um die grundlegenden Konzepte von Logto RBAC zu verstehen und wie man API-Ressourcen richtig einrichtet.
Logto-Client konfigurieren
Sobald du die API-Ressourcen eingerichtet hast, kannst du sie bei der Konfiguration von Logto in deiner App hinzufügen:
import { type LogtoConfig } from '@logto/capacitor';
const config: LogtoConfig = {
appId: '<your-application-id>',
endpoint: '<your-logto-endpoint>',
resources: ['https://shopping.your-app.com/api', 'https://store.your-app.com/api'], // API-Ressourcen hinzufügen
};
Jede API-Ressource hat ihre eigenen Berechtigungen (Berechtigungen).
Zum Beispiel hat die Ressource https://shopping.your-app.com/api die Berechtigungen shopping:read und shopping:write, und die Ressource https://store.your-app.com/api hat die Berechtigungen store:read und store:write.
Um diese Berechtigungen anzufordern, kannst du sie bei der Konfiguration von Logto in deiner App hinzufügen:
import { type LogtoConfig } from '@logto/capacitor';
const config: LogtoConfig = {
appId: '<your-application-id>',
endpoint: '<your-logto-endpoint>',
scopes: ['shopping:read', 'shopping:write', 'store:read', 'store:write'],
resources: ['https://shopping.your-app.com/api', 'https://store.your-app.com/api'],
};
Du wirst bemerken, dass Berechtigungen separat von API-Ressourcen definiert sind. Dies liegt daran, dass Resource Indicators for OAuth 2.0 spezifiziert, dass die endgültigen Berechtigungen für die Anfrage das kartesische Produkt aller Berechtigungen bei allen Zielservices sein werden.
Somit können im obigen Fall die Berechtigungen aus der Definition in Logto vereinfacht werden, beide API-Ressourcen können read und write Berechtigungen ohne Präfix haben. Dann, in der Logto-Konfiguration:
import { type LogtoConfig } from '@logto/capacitor';
const config: LogtoConfig = {
appId: '<your-application-id>',
endpoint: '<your-logto-endpoint>',
scopes: ['read', 'write'],
resources: ['https://shopping.your-app.com/api', 'https://store.your-app.com/api'],
};
Für jede API-Ressource wird sowohl read als auch write Berechtigungen angefordert.
Es ist in Ordnung, Berechtigungen anzufordern, die in den API-Ressourcen nicht definiert sind. Zum Beispiel kannst du die Berechtigung email anfordern, auch wenn die API-Ressourcen die Berechtigung email nicht verfügbar haben. Nicht verfügbare Berechtigungen werden sicher ignoriert.
Nach der erfolgreichen Anmeldung wird Logto die entsprechenden Berechtigungen an API-Ressourcen gemäß den Rollen des Benutzers ausstellen.
Zugangstoken für die API-Ressource abrufen
Um das Zugangstoken für eine spezifische API-Ressource abzurufen, kannst du die Methode getAccessToken verwenden:
const token = await logtoClient.getAccessToken('https://shopping.your-app.com/api');
Diese Methode gibt ein JWT-Zugangstoken zurück, das verwendet werden kann, um auf die API-Ressource zuzugreifen, wenn der Benutzer die entsprechenden Berechtigungen hat. Wenn das aktuell zwischengespeicherte Zugangstoken abgelaufen ist, versucht diese Methode automatisch, ein Auffrischungstoken zu verwenden, um ein neues Zugangstoken zu erhalten.
Organisationstokens abrufen
Wenn Organisationen neu für dich sind, lies bitte 🏢 Organisationen (Multi-Tenancy), um loszulegen.
Du musst die Berechtigung UserScope.Organizations hinzufügen, wenn du den Logto-Client konfigurierst:
import { type LogtoConfig, UserScope } from '@logto/capacitor';
const config: LogtoConfig = {
// ...other configs
scopes: [UserScope.Organizations],
};
Sobald der Benutzer angemeldet ist, kannst du das Organisationstoken für den Benutzer abrufen:
await logtoClient.getOrganizationToken(organizationId);