Añade autenticación a tu aplicación web Go
Esta guía te mostrará cómo integrar Logto en tu aplicación web Go.
- La siguiente demostración está construida sobre el Gin Web Framework. También puedes integrar Logto en otros frameworks siguiendo los mismos pasos.
- El proyecto de ejemplo en Go está disponible en nuestro repositorio de Go SDK.
Prerrequisitos
- Una cuenta de Logto Cloud o un Logto autoalojado.
- Una aplicación web tradicional de Logto creada.
Instalación
Ejecuta en el directorio raíz del proyecto:
go get github.com/logto-io/go
Añade el paquete github.com/logto-io/go/client a tu código de aplicación:
// main.go
package main
import (
"github.com/gin-gonic/gin"
// Añadir dependencia
"github.com/logto-io/go/client"
)
func main() {
router := gin.Default()
router.GET("/", func(c *gin.Context) {
c.String(200, "¡Hola Logto!")
})
router.Run(":3000")
}
Integración
Crea un almacenamiento de sesión
En las aplicaciones web tradicionales, la información de autenticación del usuario se almacenará en la sesión del usuario.
El SDK de Logto proporciona una interfaz Storage, puedes implementar un adaptador Storage basado en tu framework web para que el SDK de Logto pueda almacenar la información de autenticación del usuario en la sesión.
NO recomendamos usar sesiones basadas en cookies, ya que la información de autenticación del usuario almacenada por Logto puede exceder el límite de tamaño de las cookies. En este ejemplo, usamos sesiones basadas en memoria. Puedes usar Redis, MongoDB y otras tecnologías en producción para almacenar sesiones según sea necesario.
El tipo Storage en el SDK de Logto es el siguiente:
package client
type Storage interface {
GetItem(key string) string
SetItem(key, value string)
}
Usamos el middleware github.com/gin-contrib/sessions como ejemplo para demostrar este proceso.
Aplica el middleware a la aplicación, para que podamos obtener la sesión del usuario mediante el contexto de la solicitud del usuario en el manejador de rutas:
package main
import (
"github.com/gin-contrib/sessions"
"github.com/gin-contrib/sessions/memstore"
"github.com/gin-gonic/gin"
"github.com/logto-io/go/client"
)
func main() {
router := gin.Default()
// Usamos sesiones basadas en memoria en este ejemplo
store := memstore.NewStore([]byte("tu secreto de sesión"))
router.Use(sessions.Sessions("logto-session", store))
router.GET("/", func(ctx *gin.Context) {
// Obtener la sesión del usuario
session := sessions.Default(ctx)
// ...
ctx.String(200, "¡Hola Logto!")
})
router.Run(":3000")
}
Crea un archivo session_storage.go, define un SessionStorage e implementa las interfaces Storage del SDK de Logto:
package main
import (
"github.com/gin-contrib/sessions"
)
type SessionStorage struct {
session sessions.Session
}
func (storage *SessionStorage) GetItem(key string) string {
value := storage.session.Get(key)
if value == nil {
return ""
}
return value.(string)
}
func (storage *SessionStorage) SetItem(key, value string) {
storage.session.Set(key, value)
storage.session.Save()
}
Ahora, en el manejador de rutas, puedes crear un almacenamiento de sesión para Logto:
session := sessions.Default(ctx)
sessionStorage := &SessionStorage{session: session}
Inicializa LogtoClient
Primero, crea una configuración de Logto:
func main() {
// ...
logtoConfig := &client.LogtoConfig{
Endpoint: "<your-logto-endpoint>", // Ej. http://localhost:3001
AppId: "<your-application-id>",
AppSecret: "<your-application-secret>",
}
// ...
}
Puedes encontrar y copiar el "App Secret" desde la página de detalles de la aplicación en la Consola de Administración:
Luego, puedes crear un LogtoClient para cada solicitud de usuario con la configuración de Logto anterior:
func main() {
// ...
router.GET("/", func(ctx *gin.Context) {
// Crear LogtoClient
session := sessions.Default(ctx)
logtoClient := client.NewLogtoClient(
logtoConfig,
&SessionStorage{session: session},
)
// Usar Logto para controlar el contenido de la página de inicio
authState := "No estás conectado a este sitio web. :("
if logtoClient.IsAuthenticated() {
authState = "¡Estás conectado a este sitio web! :)"
}
homePage := `<h1>Hola Logto</h1>` +
"<div>" + authState + "</div>"
ctx.Data(http.StatusOK, "text/html; charset=utf-8", []byte(homePage))
})
// ...
}
Configura tu aplicación
Antes de profundizar en los detalles, aquí tienes una visión general rápida de la experiencia del usuario final. El proceso de inicio de sesión se puede simplificar de la siguiente manera:
- Tu aplicación invoca el método de inicio de sesión.
- El usuario es redirigido a la página de inicio de sesión de Logto. Para aplicaciones nativas, se abre el navegador del sistema.
- El usuario inicia sesión y es redirigido de vuelta a tu aplicación (configurada como el URI de redirección).
Sobre el inicio de sesión basado en redirección
- Este proceso de autenticación sigue el protocolo OpenID Connect (OIDC), y Logto aplica medidas de seguridad estrictas para proteger el inicio de sesión del usuario.
- Si tienes múltiples aplicaciones, puedes usar el mismo proveedor de identidad (Logto). Una vez que el usuario inicia sesión en una aplicación, Logto completará automáticamente el proceso de inicio de sesión cuando el usuario acceda a otra aplicación.
Para aprender más sobre la lógica y los beneficios del inicio de sesión basado en redirección, consulta Experiencia de inicio de sesión de Logto explicada.
En los siguientes fragmentos de código, asumimos que tu aplicación está ejecutándose en http://localhost:3000/.
Configurar URIs de redirección
Cambia a la página de detalles de la aplicación en Logto Console. Añade una URI de redirección http://localhost:3000/callback.
Al igual que al iniciar sesión, los usuarios deben ser redirigidos a Logto para cerrar la sesión de la sesión compartida. Una vez terminado, sería ideal redirigir al usuario de vuelta a tu sitio web. Por ejemplo, añade http://localhost:3000/ como la sección de URI de redirección posterior al cierre de sesión.
Luego haz clic en "Guardar" para guardar los cambios.
Maneja la redirección
Cuando el usuario inicia sesión con éxito en la página de inicio de sesión de Logto, Logto redirigirá al usuario al URI de redirección.
Dado que el URI de redirección es http://localhost:3000/callback, añadimos la ruta /callback para manejar el callback después de iniciar sesión.
func main() {
// ...
// Añadir una ruta para manejar las solicitudes de callback de inicio de sesión
router.GET("/callback", func(ctx *gin.Context) {
session := sessions.Default(ctx)
logtoClient := client.NewLogtoClient(
logtoConfig,
&SessionStorage{session: session},
)
// La solicitud de callback de inicio de sesión es manejada por Logto
err := logtoClient.HandleSignInCallback(ctx.Request)
if err != nil {
ctx.String(http.StatusInternalServerError, err.Error())
return
}
// Saltar a la página especificada por el desarrollador.
// Este ejemplo lleva al usuario de vuelta a la página de inicio.
ctx.Redirect(http.StatusTemporaryRedirect, "/")
})
// ...
}
Implementa la ruta de inicio de sesión
Después de que el URI de redirección esté configurado, añadimos una ruta sign-in para manejar la solicitud de inicio de sesión y también añadimos un enlace de inicio de sesión en la página de inicio:
func main() {
// ...
// Añadir un enlace para realizar una solicitud de inicio de sesión en la página de inicio
router.GET("/", func(ctx *gin.Context) {
// ...
homePage := `<h1>Hello Logto</h1>` +
"<div>" + authState + "</div>" +
// Añadir enlace
`<div><a href="/sign-in">Sign In</a></div>`
ctx.Data(http.StatusOK, "text/html; charset=utf-8", []byte(homePage))
})
// Añadir una ruta para manejar las solicitudes de inicio de sesión
router.GET("/sign-in", func(ctx *gin.Context) {
session := sessions.Default(ctx)
logtoClient := client.NewLogtoClient(
logtoConfig,
&SessionStorage{session: session},
)
// La solicitud de inicio de sesión es manejada por Logto.
// El usuario será redirigido al URI de redirección al iniciar sesión.
signInUri, err := logtoClient.SignIn("http://localhost:3000/callback")
if err != nil {
ctx.String(http.StatusInternalServerError, err.Error())
return
}
// Redirigir al usuario a la página de inicio de sesión de Logto.
ctx.Redirect(http.StatusTemporaryRedirect, signInUri)
})
// ...
}
Ahora, cuando tu usuario visite http://localhost:3000/sign-in, será redirigido a la página de inicio de sesión de Logto.
Implementa la ruta de cierre de sesión
Similar al flujo de inicio de sesión, cuando el usuario cierra sesión, Logto redirigirá al usuario al URI de redirección posterior al cierre de sesión.
Ahora, agreguemos la ruta sign-out para manejar la solicitud de cierre de sesión y también agreguemos un enlace de cierre de sesión en la página de inicio:
func main() {
// ...
// Agregar un enlace para realizar una solicitud de cierre de sesión en la página de inicio
router.GET("/", func(ctx *gin.Context) {
// ...
homePage := `<h1>Hello Logto</h1>` +
"<div>" + authState + "</div>" +
`<div><a href="/sign-in">Sign In</a></div>` +
// Agregar enlace
`<div><a href="/sign-out">Sign Out</a></div>`
ctx.Data(http.StatusOK, "text/html; charset=utf-8", []byte(homePage))
})
// Agregar una ruta para manejar solicitudes de cierre de sesión
router.GET("/sign-out", func(ctx *gin.Context) {
session := sessions.Default(ctx)
logtoClient := client.NewLogtoClient(
logtoConfig,
&SessionStorage{session: session},
)
// La solicitud de cierre de sesión es manejada por Logto.
// El usuario será redirigido al URI de redirección posterior al cierre de sesión al cerrar sesión.
signOutUri, signOutErr := logtoClient.SignOut("http://localhost:3000")
if signOutErr != nil {
ctx.String(http.StatusOK, signOutErr.Error())
return
}
ctx.Redirect(http.StatusTemporaryRedirect, signOutUri)
})
// ...
}
Después de que el usuario realice una solicitud de cierre de sesión, Logto borrará toda la información de autenticación del usuario en la sesión.
Punto de control: Prueba tu aplicación
Ahora, puedes probar tu aplicación:
- Ejecuta tu aplicación, verás el botón de inicio de sesión.
- Haz clic en el botón de inicio de sesión, el SDK iniciará el proceso de inicio de sesión y te redirigirá a la página de inicio de sesión de Logto.
- Después de iniciar sesión, serás redirigido de vuelta a tu aplicación y verás el botón de cierre de sesión.
- Haz clic en el botón de cierre de sesión para limpiar el almacenamiento local y cerrar sesión.
Obtener información del usuario
Mostrar información del usuario
Para mostrar la información del usuario, puedes usar el método client.GetIdTokenClaims. Por ejemplo, añade una ruta:
func main() {
//...
router.GET("/user-id-token-claims", func(ctx *gin.Context) {
session := sessions.Default(ctx)
logtoClient := client.NewLogtoClient(logtoConfig, &SessionStorage{session: session})
idTokenClaims, err := logtoClient.GetIdTokenClaims()
if err != nil {
ctx.String(http.StatusOK, err.Error())
}
ctx.JSON(http.StatusOK, idTokenClaims)
})
}
Solicitar reclamos adicionales
Es posible que encuentres que falta alguna información del usuario en el objeto devuelto desde client.GetIdTokenClaims(). Esto se debe a que OAuth 2.0 y OpenID Connect (OIDC) están diseñados para seguir el principio de privilegio mínimo (PoLP), y Logto está construido sobre estos estándares.
De forma predeterminada, se devuelven reclamos limitados. Si necesitas más información, puedes solicitar alcances adicionales para acceder a más reclamos.
Un "reclamo (Claim)" es una afirmación hecha sobre un sujeto; un "alcance (Scope)" es un grupo de reclamos. En el caso actual, un reclamo es una pieza de información sobre el usuario.
Aquí tienes un ejemplo no normativo de la relación alcance - reclamo:
El reclamo "sub" significa "sujeto", que es el identificador único del usuario (es decir, el ID del usuario).
El SDK de Logto siempre solicitará tres alcances: openid, profile y offline_access.
Para solicitar alcances adicionales, puedes pasar los alcances al objeto LogtoConfig. Por ejemplo:
logtoConfig := &client.LogtoConfig{
// ...other configs
Scopes: []string{"email", "phone"},
}
Luego puedes acceder a los reclamos adicionales en el valor de retorno de client.GetIdTokenClaims():
idTokenClaims, error := client.GetIdTokenClaims()
// Ahora puedes acceder a los reclamos adicionales `claims.email`, `claims.phone`, etc.
Reclamos que necesitan solicitudes de red
Para evitar sobrecargar el Token de ID, algunos reclamos requieren solicitudes de red para ser obtenidos. Por ejemplo, el reclamo custom_data no se incluye en el objeto de usuario incluso si se solicita en los alcances. Para acceder a estos reclamos, puedes usar el método client.FetchUserInfo():
userInfo, error := client.FetchUserInfo()
// Ahora puedes acceder al reclamo `userInfo.custom_data`
Alcances y reclamos
Logto utiliza las convenciones de alcances y reclamos (scopes and claims) de OIDC para definir los alcances y reclamos para obtener información del usuario del Token de ID y del endpoint userinfo de OIDC. Tanto "alcance" como "reclamo" son términos de las especificaciones de OAuth 2.0 y OpenID Connect (OIDC).
Aquí está la lista de alcances (Scopes) soportados y los reclamos (Claims) correspondientes:
openid
| Nombre del reclamo | Tipo | Descripción | ¿Necesita userinfo? |
|---|---|---|---|
| sub | string | El identificador único del usuario | No |
profile
| Nombre del reclamo | Tipo | Descripción | ¿Necesita userinfo? |
|---|---|---|---|
| name | string | El nombre completo del usuario | No |
| username | string | El nombre de usuario del usuario | No |
| picture | string | URL de la foto de perfil del usuario final. Esta URL DEBE referirse a un archivo de imagen (por ejemplo, un archivo de imagen PNG, JPEG o GIF), en lugar de a una página web que contenga una imagen. Ten en cuenta que esta URL DEBERÍA referirse específicamente a una foto de perfil del usuario final adecuada para mostrar al describir al usuario final, en lugar de una foto arbitraria tomada por el usuario final. | No |
| created_at | number | Momento en que se creó el usuario final. El tiempo se representa como el número de milisegundos desde la época Unix (1970-01-01T00:00:00Z). | No |
| updated_at | number | Momento en que se actualizó por última vez la información del usuario final. El tiempo se representa como el número de milisegundos desde la época Unix (1970-01-01T00:00:00Z). | No |
Otros reclamos estándar incluyen family_name, given_name, middle_name, nickname, preferred_username, profile, website, gender, birthdate, zoneinfo y locale también se incluirán en el alcance profile sin necesidad de solicitar el endpoint de userinfo. Una diferencia en comparación con los reclamos anteriores es que estos reclamos solo se devolverán cuando sus valores no estén vacíos, mientras que los reclamos anteriores devolverán null si los valores están vacíos.
A diferencia de los reclamos estándar, los reclamos created_at y updated_at utilizan milisegundos en lugar de segundos.
email
| Nombre del reclamo | Tipo | Descripción | ¿Necesita userinfo? |
|---|---|---|---|
string | La dirección de correo electrónico del usuario | No | |
| email_verified | boolean | Si la dirección de correo electrónico ha sido verificada | No |
phone
| Nombre del reclamo | Tipo | Descripción | ¿Necesita userinfo? |
|---|---|---|---|
| phone_number | string | El número de teléfono del usuario | No |
| phone_number_verified | boolean | Si el número de teléfono ha sido verificado | No |
address
Por favor, consulta el OpenID Connect Core 1.0 para los detalles del reclamo de dirección.
custom_data
| Nombre del reclamo | Tipo | Descripción | ¿Necesita userinfo? |
|---|---|---|---|
| custom_data | object | Los datos personalizados del usuario | Sí |
identities
| Nombre del reclamo | Tipo | Descripción | ¿Necesita userinfo? |
|---|---|---|---|
| identities | object | Las identidades vinculadas del usuario | Sí |
| sso_identities | array | Las identidades SSO vinculadas del usuario | Sí |
urn:logto:scope:organizations
| Nombre del reclamo | Tipo | Descripción | ¿Necesita userinfo? |
|---|---|---|---|
| organizations | string[] | Los IDs de las organizaciones a las que pertenece el usuario | No |
| organization_data | object[] | Los datos de las organizaciones a las que pertenece el usuario | Sí |
urn:logto:scope:organization_roles
| Nombre del reclamo | Tipo | Descripción | ¿Necesita userinfo? |
|---|---|---|---|
| organization_roles | string[] | Los roles de organización a los que pertenece el usuario con el formato <organization_id>:<role_name> | No |
Considerando el rendimiento y el tamaño de los datos, si "¿Necesita userinfo?" es "Sí", significa que el reclamo no aparecerá en el Token de ID, pero se devolverá en la respuesta del endpoint de userinfo.
Recursos de API y organizaciones
Recomendamos leer primero 🔐 Control de acceso basado en roles (RBAC) para entender los conceptos básicos de Logto RBAC y cómo configurar correctamente los recursos de API.
Configura el cliente Logto
Una vez que hayas configurado los recursos de API, puedes agregarlos al configurar Logto en tu aplicación:
logtoConfig := &client.LogtoConfig{
// ...other configs
Resources: []string{"https://shopping.your-app.com/api", "https://store.your-app.com/api"},
}
Cada recurso de API tiene sus propios permisos (alcances).
Por ejemplo, el recurso https://shopping.your-app.com/api tiene los permisos shopping:read y shopping:write, y el recurso https://store.your-app.com/api tiene los permisos store:read y store:write.
Para solicitar estos permisos, puedes agregarlos al configurar Logto en tu aplicación:
logtoConfig := &client.LogtoConfig{
// ...other configs
Scopes: []string{"shopping:read", "shopping:write", "store:read", "store:write"},
Resources: []string{"https://shopping.your-app.com/api", "https://store.your-app.com/api"},
}
Puedes notar que los alcances se definen por separado de los recursos de API. Esto se debe a que Resource Indicators for OAuth 2.0 especifica que los alcances finales para la solicitud serán el producto cartesiano de todos los alcances en todos los servicios objetivo.
Así, en el caso anterior, los alcances se pueden simplificar desde la definición en Logto, ambos recursos de API pueden tener alcances read y write sin el prefijo. Luego, en la configuración de Logto:
logtoConfig := &client.LogtoConfig{
// ...otros configs
Scopes: []string{"read", "write"},
Resources: []string{"https://shopping.your-app.com/api", "https://store.your-app.com/api"},
}
Para cada recurso de API, se solicitarán tanto los alcances read como write.
Está bien solicitar alcances que no están definidos en los recursos de API. Por ejemplo, puedes solicitar el alcance email incluso si los recursos de API no tienen el alcance email disponible. Los alcances no disponibles serán ignorados de manera segura.
Después de un inicio de sesión exitoso, Logto emitirá los alcances apropiados a los recursos de API de acuerdo con los roles del usuario.
Obtén el token de acceso para el recurso de API
Para obtener el token de acceso para un recurso de API específico, puedes usar el método GetAccessToken:
accessToken, error := logtoClient.GetAccessToken("https://shopping.your-app.com/api")
Este método devolverá un token de acceso JWT que se puede usar para acceder al recurso de API cuando el usuario tiene permisos relacionados. Si el token de acceso en caché actual ha expirado, este método intentará automáticamente usar un token de actualización para obtener un nuevo token de acceso.
Obtén tokens de organización
Si la organización es nueva para ti, por favor lee 🏢 Organizaciones (Multi-tenancy) para comenzar.
Necesitas añadir el alcance core.UserScopeOrganizations al configurar el cliente Logto:
logtoConfig := &client.LogtoConfig{
// ...other configs
Scopes: []string{core.UserScopeOrganizations},
}
Una vez que el usuario ha iniciado sesión, puedes obtener el token de organización para el usuario:
// Reemplaza el parámetro con un ID de organización válido.
// Los IDs de organización válidos para el usuario se pueden encontrar en el reclamo del Token de ID `organizations`.
accessToken, error := logtoClient.GetOrganizationToken("organization-id")
// o
accessTokenClaims, error := logtoClient.GetOrganizationTokenClaims("organization-id")
Recursos de API de la organización
Para obtener un token de acceso para un recurso de API en una organización, puedes usar el método getAccessToken con ambos, el recurso de API y el ID de la organización, como parámetros:
accessToken, error := client.GetAccessToken(
'https://shopping.your-app.com/api',
organizationId
);