Authentifizierung zu deiner PHP-Webanwendung hinzufügen
Diese Anleitung zeigt dir, wie du Logto in deine PHP-Webanwendung integrierst.
- Das Beispiel verwendet Laravel, aber die Konzepte sind für andere Frameworks dieselben.
Voraussetzungen
- Ein Logto Cloud-Konto oder ein selbst gehostetes Logto (Sieh dir den Einführungsleitfaden an, um eines zu erstellen, falls du noch keines hast).
- Eine traditionelle Logto-Webanwendung erstellt.
Installation
composer require logto/sdk
Integration
LogtoClient initialisieren
Zuerst erstelle eine Logto-Konfiguration:
use Logto\Sdk\LogtoClient;
use Logto\Sdk\LogtoConfig;
$client = new LogtoClient(
new LogtoConfig(
endpoint: "https://you-logto-endpoint.app",
appId: "replace-with-your-app-id",
appSecret: "replace-with-your-app-secret",
),
);
Du kannst das "App Secret" auf der Anwendungsdetailseite in der Admin-Konsole finden und kopieren:
Standardmäßig verwendet das SDK die eingebaute PHP-Session, um die Logto-Daten zu speichern. Wenn du einen anderen Speicher verwenden möchtest, kannst du ein benutzerdefiniertes Speicherobjekt als zweiten Parameter übergeben:
$client = new LogtoClient(
new LogtoConfig(
// ...
),
new YourCustomStorage(),
);
Siehe Storage für weitere Details.
Redirect-URIs konfigurieren
Bevor wir in die Details eintauchen, hier ein kurzer Überblick über die Endbenutzererfahrung. Der Anmeldeprozess kann wie folgt vereinfacht werden:
- Deine App ruft die Anmeldemethode auf.
- Der Benutzer wird zur Logto-Anmeldeseite umgeleitet. Bei nativen Apps wird der Systembrowser geöffnet.
- Der Benutzer meldet sich an und wird zurück zu deiner App umgeleitet (konfiguriert als die Redirect-URI).
Bezüglich der umleitungsbasierten Anmeldung
- Dieser Authentifizierungsprozess folgt dem OpenID Connect (OIDC) Protokoll, und Logto erzwingt strenge Sicherheitsmaßnahmen, um die Benutzeranmeldung zu schützen.
- Wenn du mehrere Apps hast, kannst du denselben Identitätsanbieter (Logto) verwenden. Sobald sich der Benutzer bei einer App anmeldet, wird Logto den Anmeldeprozess automatisch abschließen, wenn der Benutzer auf eine andere App zugreift.
Um mehr über die Gründe und Vorteile der umleitungsbasierten Anmeldung zu erfahren, siehe Logto-Anmeldeerfahrung erklärt.
In den folgenden Code-Snippets gehen wir davon aus, dass deine App unter http://localhost:3000/ läuft.
Redirect-URIs konfigurieren
Wechsle zur Anwendungsdetailseite der Logto-Konsole. Füge eine Redirect-URI http://localhost:3000/callback hinzu.
Genau wie beim Anmelden sollten Benutzer zu Logto weitergeleitet werden, um sich von der gemeinsamen Sitzung abzumelden. Sobald dies abgeschlossen ist, wäre es ideal, den Benutzer zurück zu deiner Website zu leiten. Füge zum Beispiel http://localhost:3000/ als Redirect-URI nach dem Abmelden hinzu.
Klicke dann auf "Speichern", um die Änderungen zu speichern.
Callback behandeln
Nachdem sich der Benutzer angemeldet hat, leitet Logto den Benutzer zur Callback-URL weiter, die du in der Logto-Konsole festgelegt hast. In diesem Beispiel verwenden wir /callback als Callback-URL:
Route::get('/callback', function () {
try {
$client->handleSignInCallback(); // Bearbeitet viele Dinge
} catch (\Throwable $exception) {
return $exception; // Ändere dies zu deiner Fehlerbehandlungslogik
}
return redirect('/'); // Leitet den Benutzer nach einer erfolgreichen Anmeldung zur Startseite weiter
});
Anmelderoute implementieren
In deiner Webanwendung füge eine Route hinzu, um die Anmeldeanfrage von Benutzern ordnungsgemäß zu bearbeiten. Zum Beispiel:
Route::get('/sign-in', function () {
return redirect($client->signIn('http://localhost:3000/callback'));
});
Ersetze http://localhost:3000/callback durch die Callback-URL, die du in deiner Logto-Konsole für diese Anwendung festgelegt hast.
Wenn du die Registrierungsseite auf dem ersten Bildschirm anzeigen möchtest, kannst du interactionMode auf signUp setzen:
Route::get('/sign-in', function () {
return redirect($client->signIn('http://localhost:3000/callback', InteractionMode::signUp));
});
Jetzt, wann immer deine Benutzer http://localhost:3000/sign-in besuchen, wird ein neuer Anmeldeversuch gestartet und der Benutzer zur Logto-Anmeldeseite weitergeleitet.
Hinweis Das Erstellen einer Anmelderoute ist nicht der einzige Weg, um einen Anmeldeversuch zu starten. Du kannst immer die
signIn-Methode verwenden, um die Anmelde-URL zu erhalten und den Benutzer dorthin umzuleiten.
Abmelderoute implementieren
Nachdem der Benutzer eine Abmeldeanfrage gestellt hat, wird Logto alle Benutzer-Authentifizierungsinformationen in der Sitzung löschen.
Um die PHP-Sitzung und die Logto-Sitzung zu bereinigen, kann eine Abmelderoute wie folgt implementiert werden:
Route::get('/sign-out', function () {
return redirect(
// Den Benutzer nach einer erfolgreichen Abmeldung zur Startseite umleiten
$client->signOut('http://localhost:3000/')
);
});
postLogoutRedirectUri ist optional, und wenn es nicht angegeben wird, wird der Benutzer nach einer erfolgreichen Abmeldung auf eine Logto-Standardseite weitergeleitet (ohne zurück zu deiner Anwendung zu leiten).
Hinweis Der Name
postLogoutRedirectUristammt aus der OpenID Connect RP-Initiated Logout Spezifikation. Obwohl Logto "Abmeldung" anstelle von "Logout" verwendet, ist das Konzept dasselbe.
Authentifizierungsstatus behandeln
Im Logto SDK können wir $client->isAuthenticated() verwenden, um den Authentifizierungsstatus zu überprüfen. Wenn der Benutzer angemeldet ist, wird der Wert true sein, andernfalls wird der Wert false sein.
Wir müssen auch eine Startseite zur Demonstration implementieren:
- Wenn der Benutzer nicht angemeldet ist, zeige einen Anmeldebutton;
- Wenn der Benutzer angemeldet ist, zeige einen Abmeldebutton.
Route::get('/', function () {
if ($client->isAuthenticated() === false) {
return "Nicht authentifiziert <a href='/sign-in'>Anmelden</a>";
}
return "<a href='/sign-out'>Abmelden</a>";
});
Checkpoint: Teste deine Anwendung
Jetzt kannst du deine Anwendung testen:
- Starte deine Anwendung, du wirst den Anmeldebutton sehen.
- Klicke auf den Anmeldebutton, das SDK wird den Anmeldeprozess initiieren und dich zur Logto-Anmeldeseite weiterleiten.
- Nachdem du dich angemeldet hast, wirst du zurück zu deiner Anwendung geleitet und siehst den Abmeldebutton.
- Klicke auf den Abmeldebutton, um den lokalen Speicher zu leeren und dich abzumelden.
Benutzerinformationen abrufen
Benutzerinformationen anzeigen
Um die Informationen des Benutzers anzuzeigen, kannst du entweder die Methode getIdTokenClaims oder die Methode fetchUserInfo verwenden, um Benutzerinformationen zu erhalten. Während getIdTokenClaims die im ID-Token enthaltenen Benutzerinformationen zurückgibt, ruft fetchUserInfo die Benutzerinformationen vom Userinfo-Endpunkt ab.
Route::get('/userinfo', function () {
if ($client->isAuthenticated() === false) {
return "Nicht authentifiziert <a href='/sign-in'>Anmelden</a>";
}
return (
// Lokale ID-Token-Ansprüche abrufen
json_decode($client->getIdTokenClaims())
. "<br>"
// Benutzerinformationen vom Logto-Userinfo-Endpunkt abrufen
json_decode($client->fetchUserInfo())
);
});
Unsere Datenmodelle basieren auf JsonModel, das sicher ist, undefinierte Schlüssel beim Kodieren oder Dekodieren von JSON zu akzeptieren.
Beachte, dass ein Feld (Anspruch) mit dem Wert null nicht bedeutet, dass das Feld gesetzt ist. Der Grund könnte sein, dass die zugehörige Berechtigung nicht angefordert wurde oder der Benutzer das Feld nicht hat.
Zum Beispiel, wenn wir die Berechtigung email beim Anmelden nicht angefordert haben, wird das Feld email null sein. Wenn wir jedoch die Berechtigung email angefordert haben, wird das Feld email die E-Mail-Adresse des Benutzers sein, falls verfügbar.
Zusätzliche Ansprüche anfordern
Möglicherweise fehlen einige Benutzerinformationen im zurückgegebenen Objekt von getIdTokenClaims. Dies liegt daran, dass OAuth 2.0 und OpenID Connect (OIDC) so konzipiert sind, dass sie dem Prinzip der minimalen Rechte (PoLP) folgen, und Logto auf diesen Standards basiert.
Standardmäßig werden begrenzte Ansprüche zurückgegeben. Wenn du mehr Informationen benötigst, kannst du zusätzliche Berechtigungen anfordern, um auf mehr Ansprüche zuzugreifen.
Ein "Anspruch (Claim)" ist eine Behauptung über ein Subjekt; eine "Berechtigung (Scope)" ist eine Gruppe von Ansprüchen. Im aktuellen Fall ist ein Anspruch ein Informationsstück über den Benutzer.
Hier ist ein nicht-normatives Beispiel für die Beziehung zwischen Berechtigung und Anspruch:
Der "sub"-Anspruch bedeutet "Subjekt", was der eindeutige Identifikator des Benutzers ist (d. h. Benutzer-ID).
Das Logto SDK wird immer drei Berechtigungen anfordern: openid, profile und offline_access.
Um zusätzliche Berechtigungen anzufordern, kannst du die Option scopes konfigurieren, wenn du den Logto-Client initialisierst:
$client = new LogtoClient(
new LogtoConfig(
// ...andere Konfigurationen
scopes: ["email", "phone"], // Nach Bedarf aktualisieren
),
);
Alternativ kannst du das UserScope-Enum verwenden, um Berechtigungen hinzuzufügen:
use Logto\Sdk\Constants\UserScope;
$client = new LogtoClient(
new LogtoConfig(
// ...andere Konfigurationen
scopes: [UserScope::email, UserScope::phone], // Nach Bedarf aktualisieren
),
);
Dann werden die zusätzlichen Ansprüche im Rückgabewert von getIdTokenClaims oder fetchUserInfo verfügbar sein.
Ansprüche, die Netzwerk-Anfragen benötigen
Um das ID-Token nicht aufzublähen, erfordern einige Ansprüche Netzwerk-Anfragen, um abgerufen zu werden. Zum Beispiel ist der custom_data Anspruch nicht im Benutzerobjekt enthalten, selbst wenn er in den Berechtigungen angefordert wird. Um auf diese Ansprüche zuzugreifen, kannst du die fetchUserInfo Methode verwenden:
$client->fetchUserInfo()->custom_data;
Berechtigungen und Ansprüche
Logto verwendet OIDC Berechtigungen und Ansprüche Konventionen, um die Berechtigungen und Ansprüche für das Abrufen von Benutzerinformationen aus dem ID-Token und dem OIDC userinfo endpoint zu definieren. Sowohl "Berechtigung (Scope)" als auch "Anspruch (Claim)" sind Begriffe aus den OAuth 2.0 und OpenID Connect (OIDC) Spezifikationen.
Hier ist die Liste der unterstützten Berechtigungen (Scopes) und der entsprechenden Ansprüche (Claims):
openid
| Anspruchsname | Typ | Beschreibung | Benötigt userinfo? |
|---|---|---|---|
| sub | string | Der eindeutige Identifikator des Benutzers | Nein |
profile
| Anspruchsname | Typ | Beschreibung | Benötigt userinfo? |
|---|---|---|---|
| name | string | Der vollständige Name des Benutzers | Nein |
| username | string | Der Benutzername des Benutzers | Nein |
| picture | string | URL des Profilbildes des Endbenutzers. Diese URL MUSS auf eine Bilddatei (zum Beispiel eine PNG-, JPEG- oder GIF-Bilddatei) verweisen und nicht auf eine Webseite, die ein Bild enthält. Beachte, dass diese URL speziell auf ein Profilfoto des Endbenutzers verweisen SOLLTE, das geeignet ist, den Endbenutzer zu beschreiben, und nicht auf ein beliebiges Foto, das vom Endbenutzer aufgenommen wurde. | Nein |
| created_at | number | Zeitpunkt, zu dem der Endbenutzer erstellt wurde. Die Zeit wird als Anzahl der Millisekunden seit der Unix-Epoche (1970-01-01T00:00:00Z) dargestellt. | Nein |
| updated_at | number | Zeitpunkt, zu dem die Informationen des Endbenutzers zuletzt aktualisiert wurden. Die Zeit wird als Anzahl der Millisekunden seit der Unix-Epoche (1970-01-01T00:00:00Z) dargestellt. | Nein |
Andere Standardansprüche wie family_name, given_name, middle_name, nickname, preferred_username, profile, website, gender, birthdate, zoneinfo und locale werden ebenfalls im profile-Scope enthalten sein, ohne dass der userinfo-Endpunkt angefordert werden muss. Ein Unterschied im Vergleich zu den oben genannten Ansprüchen besteht darin, dass diese Ansprüche nur zurückgegeben werden, wenn ihre Werte nicht leer sind, während die oben genannten Ansprüche null zurückgeben, wenn die Werte leer sind.
Im Gegensatz zu den Standardansprüchen verwenden die Ansprüche created_at und updated_at Millisekunden anstelle von Sekunden.
email
| Anspruchsname | Typ | Beschreibung | Benötigt userinfo? |
|---|---|---|---|
string | Die E-Mail-Adresse des Benutzers | Nein | |
| email_verified | boolean | Ob die E-Mail-Adresse verifiziert wurde | Nein |
phone
| Anspruchsname | Typ | Beschreibung | Benötigt userinfo? |
|---|---|---|---|
| phone_number | string | Die Telefonnummer des Benutzers | Nein |
| phone_number_verified | boolean | Ob die Telefonnummer verifiziert wurde | Nein |
address
Bitte siehe OpenID Connect Core 1.0 für die Details des Adressanspruchs.
custom_data
| Anspruchsname | Typ | Beschreibung | Benötigt userinfo? |
|---|---|---|---|
| custom_data | object | Die benutzerdefinierten Daten des Benutzers | Ja |
identities
| Anspruchsname | Typ | Beschreibung | Benötigt userinfo? |
|---|---|---|---|
| identities | object | Die verknüpften Identitäten des Benutzers | Ja |
| sso_identities | array | Die verknüpften SSO-Identitäten des Benutzers | Ja |
urn:logto:scope:organizations
| Anspruchsname | Typ | Beschreibung | Benötigt userinfo? |
|---|---|---|---|
| organizations | string[] | Die Organisations-IDs, denen der Benutzer angehört | Nein |
| organization_data | object[] | Die Organisationsdaten, denen der Benutzer angehört | Ja |
urn:logto:scope:organization_roles
| Anspruchsname | Typ | Beschreibung | Benötigt userinfo? |
|---|---|---|---|
| organization_roles | string[] | Die Organisationsrollen, denen der Benutzer angehört, im Format <organization_id>:<role_name> | Nein |
In Anbetracht der Leistung und der Datengröße bedeutet "Benötigt userinfo?" "Ja", dass der Anspruch nicht im ID-Token angezeigt wird, sondern in der Antwort des userinfo-Endpunkts zurückgegeben wird.
API-Ressourcen und Organisationen
Wir empfehlen, zuerst 🔐 Rollenbasierte Zugangskontrolle (RBAC) zu lesen, um die grundlegenden Konzepte von Logto RBAC zu verstehen und wie man API-Ressourcen richtig einrichtet.
Logto-Client konfigurieren
Sobald du die API-Ressourcen eingerichtet hast, kannst du sie bei der Konfiguration von Logto in deiner App hinzufügen:
$client = new LogtoClient(
new LogtoConfig(
// ...other configs
resources: ["https://shopping.your-app.com/api", "https://store.your-app.com/api"], // API-Ressourcen hinzufügen
),
);
Jede API-Ressource hat ihre eigenen Berechtigungen (Berechtigungen).
Zum Beispiel hat die Ressource https://shopping.your-app.com/api die Berechtigungen shopping:read und shopping:write, und die Ressource https://store.your-app.com/api hat die Berechtigungen store:read und store:write.
Um diese Berechtigungen anzufordern, kannst du sie bei der Konfiguration von Logto in deiner App hinzufügen:
$client = new LogtoClient(
new LogtoConfig(
// ...other configs
scopes: ["shopping:read", "shopping:write", "store:read", "store:write"], // Berechtigungen hinzufügen
resources: ["https://shopping.your-app.com/api", "https://store.your-app.com/api"], // API-Ressourcen hinzufügen
),
);
Du wirst bemerken, dass Berechtigungen separat von API-Ressourcen definiert sind. Dies liegt daran, dass Resource Indicators for OAuth 2.0 spezifiziert, dass die endgültigen Berechtigungen für die Anfrage das kartesische Produkt aller Berechtigungen bei allen Zielservices sein werden.
Somit können im obigen Fall die Berechtigungen aus der Definition in Logto vereinfacht werden, beide API-Ressourcen können read und write Berechtigungen ohne Präfix haben. Dann, in der Logto-Konfiguration:
$client = new LogtoClient(
new LogtoConfig(
// ...other configs
scopes: ["read", "write"], // Berechtigungen hinzufügen
resources: ["https://shopping.your-app.com/api", "https://store.your-app.com/api"], // API-Ressourcen hinzufügen
),
);
Für jede API-Ressource wird sowohl read als auch write Berechtigungen angefordert.
Es ist in Ordnung, Berechtigungen anzufordern, die in den API-Ressourcen nicht definiert sind. Zum Beispiel kannst du die Berechtigung email anfordern, auch wenn die API-Ressourcen die Berechtigung email nicht verfügbar haben. Nicht verfügbare Berechtigungen werden sicher ignoriert.
Nach der erfolgreichen Anmeldung wird Logto die entsprechenden Berechtigungen an API-Ressourcen gemäß den Rollen des Benutzers ausstellen.
Zugangstoken für die API-Ressource abrufen
Um das Zugangstoken für eine spezifische API-Ressource abzurufen, kannst du die Methode GetAccessToken verwenden:
$accessToken = $client->getAccessToken("https://shopping.your-app.com/api");
Diese Methode gibt ein JWT-Zugangstoken zurück, das verwendet werden kann, um auf die API-Ressource zuzugreifen, wenn der Benutzer die entsprechenden Berechtigungen hat. Wenn das aktuell zwischengespeicherte Zugangstoken abgelaufen ist, versucht diese Methode automatisch, ein Auffrischungstoken zu verwenden, um ein neues Zugangstoken zu erhalten.
Organisationstokens abrufen
Wenn Organisationen neu für dich sind, lies bitte 🏢 Organisationen (Multi-Tenancy), um loszulegen.
Du musst die Berechtigung core.UserScopeOrganizations hinzufügen, wenn du den Logto-Client konfigurierst:
use Logto\Sdk\Constants\UserScope;
$client = new LogtoClient(
new LogtoConfig(
// ...other configs
scopes: [UserScope::organizations], // Berechtigungen hinzufügen
),
);
Sobald der Benutzer angemeldet ist, kannst du das Organisationstoken für den Benutzer abrufen:
# Ersetze den Parameter durch eine gültige Organisations-ID.
# Gültige Organisations-IDs für den Benutzer können im ID-Token-Anspruch `organizations` gefunden werden.
$organizationToken = $client->getOrganizationToken(organization_id);
# oder
$claims = $client->getOrganizationTokenClaims(organization_id);