Configura el inicio de sesión social con el protocolo OAuth 2.0
El conector oficial de Logto para el protocolo OAuth 2.0.
En esta guía, asumimos que tienes conocimientos básicos de los conectores de Logto. Si no los tienes, consulta la guía Configurar conectores para comenzar.
Comenzar
El conector OAuth permite la conexión de Logto a un proveedor de identidad social arbitrario que admite el protocolo OAuth 2.0.
ℹ️ Nota
El conector OAuth es un tipo especial de conector en Logto, puedes agregar algunos conectores basados en el protocolo OAuth.
Crea tu aplicación OAuth
Cuando abres esta página, creemos que ya sabes a qué proveedor de identidad social deseas conectarte. Lo primero que debes hacer es confirmar que el proveedor de identidad admite el protocolo OAuth, que es un requisito previo para configurar un conector válido. Luego, sigue las instrucciones del proveedor de identidad para registrar y crear la aplicación relevante para la autorización OAuth.
Configura tu conector
SÓLO admitimos el tipo de concesión "Código de autorización" por razones de seguridad y se adapta perfectamente al escenario de Logto.
clientId y clientSecret se pueden encontrar en la página de detalles de tus aplicaciones OAuth.
clientId: El ID de cliente es un identificador único que identifica la aplicación cliente durante el registro con el servidor de autorización. Este ID es utilizado por el servidor de autorización para verificar la identidad de la aplicación cliente y asociar cualquier token de acceso autorizado con esa aplicación cliente específica.
clientSecret: El secreto de cliente es una clave confidencial que se emite a la aplicación cliente por el servidor de autorización durante el registro. La aplicación cliente utiliza esta clave secreta para autenticarse con el servidor de autorización al solicitar tokens de acceso. El secreto de cliente se considera información confidencial y debe mantenerse seguro en todo momento.
tokenEndpointAuthMethod: El método de autenticación del endpoint de token es utilizado por la aplicación cliente para autenticarse con el servidor de autorización al solicitar tokens de acceso. Para descubrir los métodos admitidos, consulta el campo token_endpoint_auth_methods_supported disponible en el endpoint de descubrimiento de OpenID Connect del proveedor de servicios OAuth 2.0, o consulta la documentación relevante proporcionada por el proveedor de servicios OAuth 2.0.
clientSecretJwtSigningAlgorithm (Opcional): Solo se requiere cuando tokenEndpointAuthMethod es client_secret_jwt. El algoritmo de firma JWT del secreto de cliente es utilizado por la aplicación cliente para firmar el JWT que se envía al servidor de autorización durante la solicitud de token.
scope: El parámetro de alcance se utiliza para especificar el conjunto de recursos y permisos a los que la aplicación cliente está solicitando acceso. El parámetro de alcance se define típicamente como una lista de valores separados por espacios que representan permisos específicos. Por ejemplo, un valor de alcance de "read write" podría indicar que la aplicación cliente está solicitando acceso de lectura y escritura a los datos de un usuario.
Se espera que encuentres authorizationEndpoint, tokenEndpoint y userInfoEndpoint en la documentación del proveedor social.
authenticationEndpoint: Este endpoint se utiliza para iniciar el proceso de autenticación. El proceso de autenticación generalmente implica que el usuario inicie sesión y otorgue autorización para que la aplicación cliente acceda a sus recursos.
tokenEndpoint: Este endpoint es utilizado por la aplicación cliente para obtener un token de acceso que se puede usar para acceder a los recursos solicitados. La aplicación cliente generalmente envía una solicitud al endpoint de token con un tipo de concesión y un código de autorización para recibir un token de acceso.
userInfoEndpoint: Este endpoint es utilizado por la aplicación cliente para obtener información adicional sobre el usuario, como su nombre completo, dirección de correo electrónico o foto de perfil. El endpoint de información del usuario se accede típicamente después de que la aplicación cliente ha obtenido un token de acceso del endpoint de token.
Logto también proporciona un campo profileMap que los usuarios pueden personalizar para mapear los perfiles de los proveedores sociales que generalmente no son estándar. Las claves son los nombres de los campos de perfil de usuario estándar de Logto y los valores correspondientes deben ser los nombres de los campos de los perfiles sociales. En la etapa actual, Logto solo se preocupa por 'id', 'name', 'avatar', 'email' y 'phone' del perfil social, solo 'id' es un campo requerido y los demás son opcionales.
responseType y grantType SOLO pueden ser valores FIJOS con el tipo de concesión de código de autorización, por lo que los hacemos opcionales y los valores predeterminados se completarán automáticamente.
Por ejemplo, puedes encontrar respuesta de perfil de usuario de Google y, por lo tanto, su profileMap debería ser como:
{
"id": "sub",
"avatar": "picture"
}
ℹ️ Nota
Proporcionamos una clave
customConfigOPCIONAL para colocar tus parámetros personalizados. Cada proveedor de identidad social podría tener su propia variante en el protocolo estándar OAuth. Si tu proveedor de identidad social deseado se adhiere estrictamente al protocolo estándar OAuth, entonces no necesitas preocuparte porcustomConfig.
Tipos de configuración
| Nombre | Tipo | Requerido |
|---|---|---|
| authorizationEndpoint | string | true |
| userInfoEndpoint | string | true |
| clientId | string | true |
| clientSecret | string | true |
| tokenEndpointResponseType | enum | false |
| responseType | string | false |
| grantType | string | false |
| tokenEndpoint | string | false |
| scope | string | false |
| customConfig | Record<string, string> | false |
| profileMap | ProfileMap | false |
| Campos de ProfileMap | Tipo | Requerido | Valor predeterminado |
|---|---|---|---|
| id | string | false | id |
| name | string | false | name |
| avatar | string | false | avatar |
| string | false | ||
| phone | string | false | phone |