Añade autenticación a tu aplicación web PHP

Esta guía te mostrará cómo integrar Logto en tu aplicación web PHP.

tip

• El ejemplo utiliza Laravel, pero los conceptos son los mismos para otros frameworks.

Requisitos previos

• Una cuenta de Logto Cloud o un Logto autoalojado (Consulta la guía de Introducción para crear una si no tienes).
• Una aplicación web tradicional de Logto creada.

Instalación

composer require logto/sdk

Integración

Inicializar LogtoClient

Primero, crea una configuración de Logto:

index.php

use Logto\Sdk\LogtoClient;
use Logto\Sdk\LogtoConfig;

$client = new LogtoClient(
  new LogtoConfig(
    endpoint: "https://you-logto-endpoint.app",
    appId: "replace-with-your-app-id",
    appSecret: "replace-with-your-app-secret",
  ),
);

tip

Puedes encontrar y copiar el "App Secret" desde la página de detalles de la aplicación en la Consola de Administración:

Por defecto, el SDK utiliza la sesión PHP incorporada para almacenar los datos de Logto. Si deseas usar otro almacenamiento, puedes pasar un objeto de almacenamiento personalizado como segundo parámetro:

index.php

$client = new LogtoClient(
  new LogtoConfig(
    // ...
  ),
  new YourCustomStorage(),
);

Consulta Storage para más detalles.

Configurar URIs de redirección

Antes de profundizar en los detalles, aquí tienes una visión general rápida de la experiencia del usuario final. El proceso de inicio de sesión se puede simplificar de la siguiente manera:

1. Tu aplicación invoca el método de inicio de sesión.
2. El usuario es redirigido a la página de inicio de sesión de Logto. Para aplicaciones nativas, se abre el navegador del sistema.
3. El usuario inicia sesión y es redirigido de vuelta a tu aplicación (configurada como el URI de redirección).

Sobre el inicio de sesión basado en redirección

1. Este proceso de autenticación sigue el protocolo OpenID Connect (OIDC), y Logto aplica medidas de seguridad estrictas para proteger el inicio de sesión del usuario.
2. Si tienes múltiples aplicaciones, puedes usar el mismo proveedor de identidad (Logto). Una vez que el usuario inicia sesión en una aplicación, Logto completará automáticamente el proceso de inicio de sesión cuando el usuario acceda a otra aplicación.

Para aprender más sobre la lógica y los beneficios del inicio de sesión basado en redirección, consulta Experiencia de inicio de sesión de Logto explicada.

---

nota

En los siguientes fragmentos de código, asumimos que tu aplicación está ejecutándose en http://localhost:3000/.

Configurar URIs de redirección

Cambia a la página de detalles de la aplicación en Logto Console. Añade una URI de redirección http://localhost:3000/callback.

Al igual que al iniciar sesión, los usuarios deben ser redirigidos a Logto para cerrar la sesión de la sesión compartida. Una vez terminado, sería ideal redirigir al usuario de vuelta a tu sitio web. Por ejemplo, añade http://localhost:3000/ como la sección de URI de redirección posterior al cierre de sesión.

Luego haz clic en "Guardar" para guardar los cambios.

Manejar el callback

Después de que el usuario inicie sesión, Logto redirigirá al usuario a la URL de callback que configuraste en la Logto Console. En este ejemplo, usamos /callback como la URL de callback:

Route::get('/callback', function () {
  try {
    $client->handleSignInCallback(); // Maneja muchas cosas
  } catch (\Throwable $exception) {
    return $exception; // Cambia esto a tu lógica de manejo de errores
  }
  return redirect('/'); // Redirige al usuario a la página de inicio después de un inicio de sesión exitoso
});

Implementar la ruta de inicio de sesión

En tu aplicación web, añade una ruta para manejar adecuadamente la solicitud de inicio de sesión de los usuarios. Por ejemplo:

Route::get('/sign-in', function () {
return redirect($client->signIn('http://localhost:3000/callback'));
});

Reemplaza http://localhost:3000/callback con la URL de callback que configuraste en tu Logto Console para esta aplicación.

Si deseas mostrar la página de registro en la primera pantalla, puedes establecer interactionMode a signUp:

Route::get('/sign-in', function () {
return redirect($client->signIn('http://localhost:3000/callback', InteractionMode::signUp));
});

Ahora, cada vez que tus usuarios visiten http://localhost:3000/sign-in, se iniciará un nuevo intento de inicio de sesión y se redirigirá al usuario a la página de inicio de sesión de Logto.

Nota Crear una ruta de inicio de sesión no es la única manera de iniciar un intento de inicio de sesión. Siempre puedes usar el método signIn para obtener la URL de inicio de sesión y redirigir al usuario a ella.

Implementar la ruta de cierre de sesión

Después de que el usuario realice una solicitud de cierre de sesión, Logto limpiará toda la información de autenticación del usuario en la sesión.

Para limpiar la sesión de PHP y la sesión de Logto, se puede implementar una ruta de cierre de sesión de la siguiente manera:

Route::get('/sign-out', function () {
return redirect(
  // Redirige al usuario a la página de inicio después de un cierre de sesión exitoso
  $client->signOut('http://localhost:3000/')
);
});

postLogoutRedirectUri es opcional, y si no se proporciona, el usuario será redirigido a una página predeterminada de Logto después de un cierre de sesión exitoso (sin redirigir de vuelta a tu aplicación).

Nota El nombre postLogoutRedirectUri proviene de la especificación OpenID Connect RP-Initiated Logout. Aunque Logto utiliza "cierre de sesión" en lugar de "logout", el concepto es el mismo.

Manejar el estado de autenticación

En Logto SDK, podemos usar $client->isAuthenticated() para verificar el estado de autenticación. Si el usuario ha iniciado sesión, el valor será verdadero; de lo contrario, el valor será falso.

También necesitamos implementar una página de inicio para la demostración:

• Si el usuario no ha iniciado sesión, mostrar un botón de inicio de sesión;
• Si el usuario ha iniciado sesión, mostrar un botón de cierre de sesión.

Route::get('/', function () {
  if ($client->isAuthenticated() === false) {
    return "No autenticado <a href='/sign-in'>Iniciar sesión</a>";
  }

  return "<a href='/sign-out'>Cerrar sesión</a>";
});

Punto de control: Prueba tu aplicación

Ahora, puedes probar tu aplicación:

1. Ejecuta tu aplicación, verás el botón de inicio de sesión.
2. Haz clic en el botón de inicio de sesión, el SDK iniciará el proceso de inicio de sesión y te redirigirá a la página de inicio de sesión de Logto.
3. Después de iniciar sesión, serás redirigido de vuelta a tu aplicación y verás el botón de cierre de sesión.
4. Haz clic en el botón de cierre de sesión para limpiar el almacenamiento local y cerrar sesión.

Obtener información del usuario

Mostrar información del usuario

Para mostrar la información del usuario, puedes usar el método getIdTokenClaims o el método fetchUserInfo para obtener la información del usuario. Mientras que getIdTokenClaims devuelve la información del usuario contenida en el Token de ID (ID token), fetchUserInfo obtiene la información del usuario desde el endpoint de userinfo.

index.php

Route::get('/userinfo', function () {
  if ($client->isAuthenticated() === false) {
    return "No autenticado <a href='/sign-in'>Iniciar sesión</a>";
  }

  return (
    // Obtener reclamos locales del Token de ID
    json_decode($client->getIdTokenClaims())
    . "<br>"
    // Obtener información del usuario desde el endpoint de userinfo de Logto
    json_decode($client->fetchUserInfo())
  );
});

Nuestros modelos de datos se basan en JsonModel, lo cual es seguro para aceptar claves indefinidas al codificar o decodificar JSON.

Ten en cuenta que un campo (reclamo) con valor null no significa que el campo esté establecido. La razón puede ser que el alcance relacionado no se solicitó, o que el usuario no tiene el campo.

Por ejemplo, si no solicitamos el alcance email al iniciar sesión, el campo email será null. Sin embargo, si solicitamos el alcance email, el campo email será la dirección de correo electrónico del usuario si está disponible.

Solicitar reclamos adicionales

Es posible que encuentres que falta alguna información del usuario en el objeto devuelto desde getIdTokenClaims. Esto se debe a que OAuth 2.0 y OpenID Connect (OIDC) están diseñados para seguir el principio de privilegio mínimo (PoLP), y Logto está construido sobre estos estándares.

De forma predeterminada, se devuelven reclamos limitados. Si necesitas más información, puedes solicitar alcances adicionales para acceder a más reclamos.

info

Un "reclamo (Claim)" es una afirmación hecha sobre un sujeto; un "alcance (Scope)" es un grupo de reclamos. En el caso actual, un reclamo es una pieza de información sobre el usuario.

Aquí tienes un ejemplo no normativo de la relación alcance - reclamo:

tip

El reclamo "sub" significa "sujeto", que es el identificador único del usuario (es decir, el ID del usuario).

El SDK de Logto siempre solicitará tres alcances: openid, profile y offline_access.

Para solicitar alcances adicionales, puedes configurar la opción scopes al inicializar el cliente de Logto:

index.php

$client = new LogtoClient(
  new LogtoConfig(
    // ...otras configuraciones
    scopes: ["email", "phone"], // Actualiza según tus necesidades
  ),
);

Alternativamente, puedes usar el enum UserScope para agregar alcances:

index.php

use Logto\Sdk\Constants\UserScope;

$client = new LogtoClient(
  new LogtoConfig(
    // ...otras configuraciones
    scopes: [UserScope::email, UserScope::phone], // Actualiza según tus necesidades
  ),
);

Entonces, los reclamos adicionales estarán disponibles en el valor de retorno de getIdTokenClaims o fetchUserInfo.

Reclamos que necesitan solicitudes de red

Para evitar sobrecargar el Token de ID, algunos reclamos requieren solicitudes de red para ser obtenidos. Por ejemplo, el reclamo custom_data no se incluye en el objeto de usuario incluso si se solicita en los alcances. Para acceder a estos reclamos, puedes usar el método fetchUserInfo:

index.php

$client->fetchUserInfo()->custom_data;

Este método obtendrá la información del usuario solicitando al endpoint de userinfo. Para aprender más sobre los alcances y reclamos disponibles, consulta la sección de Alcances y reclamos.

Alcances y reclamos

Logto utiliza las convenciones de alcances y reclamos (scopes and claims) de OIDC para definir los alcances y reclamos para obtener información del usuario del Token de ID y del endpoint userinfo de OIDC. Tanto "alcance" como "reclamo" son términos de las especificaciones de OAuth 2.0 y OpenID Connect (OIDC).

Aquí está la lista de alcances (Scopes) soportados y los reclamos (Claims) correspondientes:

openid

Nombre del reclamo	Tipo	Descripción	¿Necesita userinfo?
sub	string	El identificador único del usuario	No

profile

Nombre del reclamo	Tipo	Descripción	¿Necesita userinfo?
name	string	El nombre completo del usuario	No
username	string	El nombre de usuario del usuario	No
picture	string	URL de la foto de perfil del usuario final. Esta URL DEBE referirse a un archivo de imagen (por ejemplo, un archivo de imagen PNG, JPEG o GIF), en lugar de a una página web que contenga una imagen. Ten en cuenta que esta URL DEBERÍA referirse específicamente a una foto de perfil del usuario final adecuada para mostrar al describir al usuario final, en lugar de una foto arbitraria tomada por el usuario final.	No
created_at	number	Momento en que se creó el usuario final. El tiempo se representa como el número de milisegundos desde la época Unix (1970-01-01T00:00:00Z).	No
updated_at	number	Momento en que se actualizó por última vez la información del usuario final. El tiempo se representa como el número de milisegundos desde la época Unix (1970-01-01T00:00:00Z).	No

Otros reclamos estándar incluyen family_name, given_name, middle_name, nickname, preferred_username, profile, website, gender, birthdate, zoneinfo y locale también se incluirán en el alcance profile sin necesidad de solicitar el endpoint de userinfo. Una diferencia en comparación con los reclamos anteriores es que estos reclamos solo se devolverán cuando sus valores no estén vacíos, mientras que los reclamos anteriores devolverán null si los valores están vacíos.

nota

A diferencia de los reclamos estándar, los reclamos created_at y updated_at utilizan milisegundos en lugar de segundos.

email

Nombre del reclamo	Tipo	Descripción	¿Necesita userinfo?
email	string	La dirección de correo electrónico del usuario	No
email_verified	boolean	Si la dirección de correo electrónico ha sido verificada	No

phone

Nombre del reclamo	Tipo	Descripción	¿Necesita userinfo?
phone_number	string	El número de teléfono del usuario	No
phone_number_verified	boolean	Si el número de teléfono ha sido verificado	No

address

Por favor, consulta el OpenID Connect Core 1.0 para los detalles del reclamo de dirección.

custom_data

Nombre del reclamo	Tipo	Descripción	¿Necesita userinfo?
custom_data	object	Los datos personalizados del usuario	Sí

identities

Nombre del reclamo	Tipo	Descripción	¿Necesita userinfo?
identities	object	Las identidades vinculadas del usuario	Sí
sso_identities	array	Las identidades SSO vinculadas del usuario	Sí

urn:logto:scope:organizations

Nombre del reclamo	Tipo	Descripción	¿Necesita userinfo?
organizations	string[]	Los IDs de las organizaciones a las que pertenece el usuario	No
organization_data	object[]	Los datos de las organizaciones a las que pertenece el usuario	Sí

urn:logto:scope:organization_roles

Nombre del reclamo	Tipo	Descripción	¿Necesita userinfo?
organization_roles	string[]	Los roles de organización a los que pertenece el usuario con el formato <organization_id>:<role_name>	No

---

Considerando el rendimiento y el tamaño de los datos, si "¿Necesita userinfo?" es "Sí", significa que el reclamo no aparecerá en el Token de ID, pero se devolverá en la respuesta del endpoint de userinfo.

Recursos de API y organizaciones

Recomendamos leer primero 🔐 Control de acceso basado en roles (RBAC) para entender los conceptos básicos de Logto RBAC y cómo configurar correctamente los recursos de API.

Configurar cliente Logto

Una vez que hayas configurado los recursos de API, puedes agregarlos al configurar Logto en tu aplicación:

index.php

$client = new LogtoClient(
  new LogtoConfig(
    // ...other configs
    resources: ["https://shopping.your-app.com/api", "https://store.your-app.com/api"], // Add API resources
  ),
);

Cada recurso de API tiene sus propios permisos (alcances).

Por ejemplo, el recurso https://shopping.your-app.com/api tiene los permisos shopping:read y shopping:write, y el recurso https://store.your-app.com/api tiene los permisos store:read y store:write.

Para solicitar estos permisos, puedes agregarlos al configurar Logto en tu aplicación:

index.php

$client = new LogtoClient(
  new LogtoConfig(
    // ...other configs
    scopes: ["shopping:read", "shopping:write", "store:read", "store:write"], // Añadir alcances
    resources: ["https://shopping.your-app.com/api", "https://store.your-app.com/api"], // Añadir recursos de API
  ),
);

Puedes notar que los alcances se definen por separado de los recursos de API. Esto se debe a que Resource Indicators for OAuth 2.0 especifica que los alcances finales para la solicitud serán el producto cartesiano de todos los alcances en todos los servicios objetivo.

Así, en el caso anterior, los alcances se pueden simplificar desde la definición en Logto, ambos recursos de API pueden tener alcances read y write sin el prefijo. Luego, en la configuración de Logto:

index.php

$client = new LogtoClient(
  new LogtoConfig(
    // ...other configs
    scopes: ["read", "write"], // Añadir alcances
    resources: ["https://shopping.your-app.com/api", "https://store.your-app.com/api"], // Añadir recursos de API
  ),
);

Para cada recurso de API, se solicitarán tanto los alcances read como write.

nota

Está bien solicitar alcances que no están definidos en los recursos de API. Por ejemplo, puedes solicitar el alcance email incluso si los recursos de API no tienen el alcance email disponible. Los alcances no disponibles serán ignorados de manera segura.

Después de un inicio de sesión exitoso, Logto emitirá los alcances apropiados a los recursos de API de acuerdo con los roles del usuario.

Obtener token de acceso para el recurso de API

Para obtener el token de acceso para un recurso de API específico, puedes usar el método GetAccessToken:

index.php

$accessToken = $client->getAccessToken("https://shopping.your-app.com/api");

Este método devolverá un token de acceso JWT que se puede usar para acceder al recurso de API cuando el usuario tiene permisos relacionados. Si el token de acceso en caché actual ha expirado, este método intentará automáticamente usar un token de actualización para obtener un nuevo token de acceso.

Obtener tokens de organización

Si la organización es nueva para ti, por favor lee 🏢 Organizaciones (Multi-tenancy) para comenzar.

Necesitas añadir el alcance core.UserScopeOrganizations al configurar el cliente Logto:

use Logto\Sdk\Constants\UserScope;

$client = new LogtoClient(
  new LogtoConfig(
    // ...other configs
    scopes: [UserScope::organizations], // Añadir alcances
  ),
);

Una vez que el usuario ha iniciado sesión, puedes obtener el token de organización para el usuario:

index.php

# Reemplaza el parámetro con un ID de organización válido.
# Los IDs de organización válidos para el usuario se pueden encontrar en el reclamo del token de ID `organizations`.
$organizationToken = $client->getOrganizationToken(organization_id);
# o
$claims = $client->getOrganizationTokenClaims(organization_id);

Lecturas adicionales

Flujos de usuario final: flujos de autenticación, flujos de cuenta y flujos de organización Configurar conectores Protege tu API