Añade autenticación a tu aplicación Angular
- La siguiente demostración está construida sobre Angular 18.0.0 y angular-auth-oidc-client.
- El proyecto de ejemplo está disponible en el repositorio de GitHub.
Requisitos previos
- Una cuenta de Logto Cloud o un Logto autoalojado.
- Una aplicación de una sola página de Logto creada.
Instalación
Instala Logto JS core SDK y la biblioteca cliente Angular OIDC:
- npm
- pnpm
- yarn
npm i @logto/js angular-auth-oidc-client
pnpm add @logto/js angular-auth-oidc-client
yarn add @logto/js angular-auth-oidc-client
Integración
Configurar la aplicación
En tu proyecto de Angular, añade el proveedor de autenticación en tu app.config.ts:
import { buildAngularAuthConfig } from '@logto/js';
import { provideAuth } from 'angular-auth-oidc-client';
export const appConfig: ApplicationConfig = {
providers: [
provideHttpClient(withFetch()),
provideAuth({
config: buildAngularAuthConfig({
endpoint: '<your-logto-endpoint>',
appId: '<your-app-id>',
redirectUri: 'http://localhost:3000/callback',
postLogoutRedirectUri: 'http://localhost:3000/',
}),
}),
// ...otros proveedores
],
};
Configurar URIs de redirección
Antes de profundizar en los detalles, aquí tienes una visión general rápida de la experiencia del usuario final. El proceso de inicio de sesión se puede simplificar de la siguiente manera:
- Tu aplicación invoca el método de inicio de sesión.
- El usuario es redirigido a la página de inicio de sesión de Logto. Para aplicaciones nativas, se abre el navegador del sistema.
- El usuario inicia sesión y es redirigido de vuelta a tu aplicación (configurada como el URI de redirección).
Sobre el inicio de sesión basado en redirección
- Este proceso de autenticación sigue el protocolo OpenID Connect (OIDC), y Logto aplica medidas de seguridad estrictas para proteger el inicio de sesión del usuario.
- Si tienes múltiples aplicaciones, puedes usar el mismo proveedor de identidad (Logto). Una vez que el usuario inicia sesión en una aplicación, Logto completará automáticamente el proceso de inicio de sesión cuando el usuario acceda a otra aplicación.
Para aprender más sobre la lógica y los beneficios del inicio de sesión basado en redirección, consulta Experiencia de inicio de sesión de Logto explicada.
En los siguientes fragmentos de código, asumimos que tu aplicación está ejecutándose en http://localhost:3000/.
Configurar URIs de redirección
Cambia a la página de detalles de la aplicación en Logto Console. Añade una URI de redirección http://localhost:3000/callback.
Al igual que al iniciar sesión, los usuarios deben ser redirigidos a Logto para cerrar la sesión de la sesión compartida. Una vez terminado, sería ideal redirigir al usuario de vuelta a tu sitio web. Por ejemplo, añade http://localhost:3000/ como la sección de URI de redirección posterior al cierre de sesión.
Luego haz clic en "Guardar" para guardar los cambios.
Manejar la redirección
Dado que usamos http://localhost:3000/callback como el URI de redirección, ahora necesitamos manejarlo adecuadamente. La biblioteca angular-auth-oidc-client proporciona soporte integrado para manejar la redirección. Solo necesitas configurar correctamente las configuraciones del proveedor de autenticación y la biblioteca se encargará del resto.
export const appConfig: ApplicationConfig = {
providers: [
provideAuth({
config: buildAngularAuthConfig({
// ...otras configuraciones
redirectUri: 'http://localhost:3000/callback',
postLogoutRedirectUri: 'http://localhost:3000/',
}),
}),
// ...otros proveedores
],
};
Implementar inicio y cierre de sesión
En el componente donde deseas implementar el inicio y cierre de sesión (por ejemplo, app.component.ts), inyecta el OidcSecurityService y úsalo para iniciar y cerrar sesión.
import { OidcSecurityService } from 'angular-auth-oidc-client';
export class AppComponent implements OnInit {
constructor(public oidcSecurityService: OidcSecurityService) {}
signIn() {
this.oidcSecurityService.authorize();
}
signOut() {
this.oidcSecurityService.logoff().subscribe((result) => {
console.log('app sign-out', result);
});
}
}
Luego, en la plantilla, añade botones para iniciar y cerrar sesión:
<button (click)="signIn()">Iniciar sesión</button>
<br />
<button (click)="signOut()">Cerrar sesión</button>
Llamar a .signOut() borrará todos los datos de Logto en la memoria y en localStorage si existen.
Punto de control: Prueba tu aplicación
Ahora, puedes probar tu aplicación:
- Ejecuta tu aplicación, verás el botón de inicio de sesión.
- Haz clic en el botón de inicio de sesión, el SDK iniciará el proceso de inicio de sesión y te redirigirá a la página de inicio de sesión de Logto.
- Después de iniciar sesión, serás redirigido de vuelta a tu aplicación y verás el botón de cierre de sesión.
- Haz clic en el botón de cierre de sesión para limpiar el almacenamiento local y cerrar sesión.
Obtener información del usuario
Una vez que el usuario ha iniciado sesión con éxito, Logto emitirá un Token de ID que contiene los reclamos de información del usuario. El Token de ID es un JSON Web Token (JWT).
Es importante tener en cuenta que los reclamos de información del usuario que se pueden recuperar dependen de los alcances utilizados por el usuario durante el inicio de sesión, y considerando el rendimiento y el tamaño de los datos, el Token de ID puede no contener todos los reclamos del usuario, algunos reclamos del usuario solo están disponibles en el endpoint de userinfo (ver la lista relacionada a continuación).
La utilidad buildAngularAuthConfig() habilitará autoUserInfo y renewUserInfoAfterTokenRenew si no se proporciona un resource en la configuración. Esto significa que Logto obtendrá automáticamente la información del usuario después de que el usuario inicie sesión y renovará la información del usuario después de que se renueve el token.
Para obtener más información sobre cómo configurar la biblioteca angular-auth-oidc-client, consulta la documentación oficial.
Mostrar información del usuario
El OidcSecurityService proporciona una manera conveniente de suscribirse al estado de autenticación así como a la información del usuario:
import { OidcSecurityService } from 'angular-auth-oidc-client';
import { decodeIdToken, type IdTokenClaims } from '@logto/js';
export class AppComponent implements OnInit {
isAuthenticated = false;
idTokenClaims?: IdTokenClaims;
accessToken?: string;
constructor(public oidcSecurityService: OidcSecurityService) {}
ngOnInit() {
this.oidcSecurityService.checkAuth().subscribe(({ isAuthenticated, idToken, accessToken }) => {
console.log('app authenticated', isAuthenticated, idToken);
this.isAuthenticated = isAuthenticated;
this.idTokenClaims = decodeIdToken(idToken);
this.accessToken = accessToken;
});
}
// ...otros métodos
}
Y úsalo en la plantilla:
<button *ngIf="!isAuthenticated" (click)="signIn()">Sign in</button>
<ng-container *ngIf="isAuthenticated">
<pre>{{ idTokenClaims | json }}</pre>
<p>Access token: {{ accessToken }}</p>
<!-- ... -->
<button (click)="signOut()">Sign out</button>
</ng-container>
Solicitar reclamos adicionales
Es posible que encuentres que falta alguna información del usuario en el objeto devuelto desde idToken. Esto se debe a que OAuth 2.0 y OpenID Connect (OIDC) están diseñados para seguir el principio de privilegio mínimo (PoLP), y Logto está construido sobre estos estándares.
De forma predeterminada, se devuelven reclamos limitados. Si necesitas más información, puedes solicitar alcances adicionales para acceder a más reclamos.
Un "reclamo (Claim)" es una afirmación hecha sobre un sujeto; un "alcance (Scope)" es un grupo de reclamos. En el caso actual, un reclamo es una pieza de información sobre el usuario.
Aquí tienes un ejemplo no normativo de la relación alcance - reclamo:
El reclamo "sub" significa "sujeto", que es el identificador único del usuario (es decir, el ID del usuario).
El SDK de Logto siempre solicitará tres alcances: openid, profile y offline_access.
Para solicitar alcances adicionales, puedes configurar las configuraciones del proveedor de autenticación:
import { UserScope, buildAngularAuthConfig } from '@logto/js';
export const appConfig: ApplicationConfig = {
providers: [
provideHttpClient(withFetch()),
provideAuth({
config: buildAngularAuthConfig({
// ...otras configuraciones
scopes: [
UserScope.Email,
UserScope.Phone,
UserScope.CustomData,
UserScope.Identities,
UserScope.Organizations,
],
}),
}),
// ...otros proveedores
],
};
Luego puedes acceder a los reclamos adicionales en el valor de retorno de idToken.
Reclamos que necesitan solicitudes de red
Para evitar sobrecargar el Token de ID, algunos reclamos requieren solicitudes de red para ser obtenidos. Por ejemplo, el reclamo custom_data no se incluye en el objeto de usuario incluso si se solicita en los alcances. Para acceder a estos reclamos, puedes configurar la opción userData:
import { OidcSecurityService } from 'angular-auth-oidc-client';
import { type UserInfoResponse } from '@logto/js';
export class AppComponent implements OnInit {
isAuthenticated = false;
userData?: UserInfoResponse;
accessToken?: string;
constructor(public oidcSecurityService: OidcSecurityService) {}
ngOnInit() {
this.oidcSecurityService
.checkAuth()
.subscribe(({ isAuthenticated, userData, accessToken }) => {
console.log('app authenticated', isAuthenticated, idToken);
this.isAuthenticated = isAuthenticated;
this.userData = userData;
this.accessToken = accessToken;
});
}
// ...otros métodos
}
// Ahora puedes acceder al reclamo `userData.custom_data`
userData, el SDK obtendrá la información del usuario solicitando al endpoint de userinfo después de que el usuario haya iniciado sesión, y userData estará disponible una vez que la solicitud se complete.
Alcances y reclamos
Logto utiliza las convenciones de alcances y reclamos (scopes and claims) de OIDC para definir los alcances y reclamos para obtener información del usuario del Token de ID y del endpoint userinfo de OIDC. Tanto "alcance" como "reclamo" son términos de las especificaciones de OAuth 2.0 y OpenID Connect (OIDC).
Aquí está la lista de alcances (Scopes) soportados y los reclamos (Claims) correspondientes:
openid
| Nombre del reclamo | Tipo | Descripción | ¿Necesita userinfo? |
|---|---|---|---|
| sub | string | El identificador único del usuario | No |
profile
| Nombre del reclamo | Tipo | Descripción | ¿Necesita userinfo? |
|---|---|---|---|
| name | string | El nombre completo del usuario | No |
| username | string | El nombre de usuario del usuario | No |
| picture | string | URL de la foto de perfil del usuario final. Esta URL DEBE referirse a un archivo de imagen (por ejemplo, un archivo de imagen PNG, JPEG o GIF), en lugar de a una página web que contenga una imagen. Ten en cuenta que esta URL DEBERÍA referirse específicamente a una foto de perfil del usuario final adecuada para mostrar al describir al usuario final, en lugar de una foto arbitraria tomada por el usuario final. | No |
| created_at | number | Momento en que se creó el usuario final. El tiempo se representa como el número de milisegundos desde la época Unix (1970-01-01T00:00:00Z). | No |
| updated_at | number | Momento en que se actualizó por última vez la información del usuario final. El tiempo se representa como el número de milisegundos desde la época Unix (1970-01-01T00:00:00Z). | No |
Otros reclamos estándar incluyen family_name, given_name, middle_name, nickname, preferred_username, profile, website, gender, birthdate, zoneinfo y locale también se incluirán en el alcance profile sin necesidad de solicitar el endpoint de userinfo. Una diferencia en comparación con los reclamos anteriores es que estos reclamos solo se devolverán cuando sus valores no estén vacíos, mientras que los reclamos anteriores devolverán null si los valores están vacíos.
A diferencia de los reclamos estándar, los reclamos created_at y updated_at utilizan milisegundos en lugar de segundos.
email
| Nombre del reclamo | Tipo | Descripción | ¿Necesita userinfo? |
|---|---|---|---|
string | La dirección de correo electrónico del usuario | No | |
| email_verified | boolean | Si la dirección de correo electrónico ha sido verificada | No |
phone
| Nombre del reclamo | Tipo | Descripción | ¿Necesita userinfo? |
|---|---|---|---|
| phone_number | string | El número de teléfono del usuario | No |
| phone_number_verified | boolean | Si el número de teléfono ha sido verificado | No |
address
Por favor, consulta el OpenID Connect Core 1.0 para los detalles del reclamo de dirección.
custom_data
| Nombre del reclamo | Tipo | Descripción | ¿Necesita userinfo? |
|---|---|---|---|
| custom_data | object | Los datos personalizados del usuario | Sí |
identities
| Nombre del reclamo | Tipo | Descripción | ¿Necesita userinfo? |
|---|---|---|---|
| identities | object | Las identidades vinculadas del usuario | Sí |
| sso_identities | array | Las identidades SSO vinculadas del usuario | Sí |
urn:logto:scope:organizations
| Nombre del reclamo | Tipo | Descripción | ¿Necesita userinfo? |
|---|---|---|---|
| organizations | string[] | Los IDs de las organizaciones a las que pertenece el usuario | No |
| organization_data | object[] | Los datos de las organizaciones a las que pertenece el usuario | Sí |
urn:logto:scope:organization_roles
| Nombre del reclamo | Tipo | Descripción | ¿Necesita userinfo? |
|---|---|---|---|
| organization_roles | string[] | Los roles de organización a los que pertenece el usuario con el formato <organization_id>:<role_name> | No |
Considerando el rendimiento y el tamaño de los datos, si "¿Necesita userinfo?" es "Sí", significa que el reclamo no aparecerá en el Token de ID, pero se devolverá en la respuesta del endpoint de userinfo.
Recursos de API
Configurar angular-auth-oidc-client para el recurso de API
Recomendamos leer primero 🔐 Control de acceso basado en roles (RBAC) para entender los conceptos básicos de Logto RBAC y cómo configurar correctamente los recursos de API.
Una vez que hayas configurado los recursos de API, puedes agregarlos al configurar Logto en tu aplicación:
export const appConfig: ApplicationConfig = {
providers: [
provideHttpClient(withFetch()),
provideAuth({
config: buildAngularAuthConfig({
// ...other config
resource: 'https://your-api-resource.com',
}),
}),
// ...other providers
],
};
Cada recurso de API tiene sus propios permisos (alcances).
Por ejemplo, el recurso https://shopping.your-app.com/api tiene los permisos shopping:read y shopping:write, y el recurso https://store.your-app.com/api tiene los permisos store:read y store:write.
Para solicitar estos permisos, puedes agregarlos al configurar Logto en tu aplicación:
export const appConfig: ApplicationConfig = {
providers: [
provideHttpClient(withFetch()),
provideAuth({
config: buildAngularAuthConfig({
// ...other config
resource: 'https://your-api-resource.com',
scopes: ['openid', 'profile', 'offline_access', 'read', 'write'],
}),
}),
// ...other providers
],
};
Puedes notar que los alcances se definen por separado de los recursos de API. Esto se debe a que Resource Indicators for OAuth 2.0 especifica que los alcances finales para la solicitud serán el producto cartesiano de todos los alcances en todos los servicios objetivo.
Está bien solicitar alcances que no están definidos en los recursos de API. Por ejemplo, puedes solicitar el alcance email incluso si los recursos de API no tienen el alcance email disponible. Los alcances no disponibles serán ignorados de manera segura.
Después de un inicio de sesión exitoso, Logto emitirá los alcances apropiados a los recursos de API de acuerdo con los roles del usuario.
Ahora, el token de acceso estará en el formato JSON Web Token (JWT) en lugar de una cadena aleatoria (token opaco).
Tanto autoUserInfo como renewUserInfoAfterTokenRenew estarán deshabilitados cuando se establezca resource. Esto se debe a que el token de acceso se solicitará para el recurso de API específico y no para el endpoint de información del usuario.
Actualmente, solo los SDKs oficiales de Logto admiten la capacidad de solicitar tanto información del usuario como tokens de acceso a recursos de API. Si necesitas solicitar ambos, no dudes en contactarnos.