Añade autenticación a tu aplicación Ruby

tip

• La siguiente demostración está construida sobre Ruby 3.3.3.
• El proyecto de ejemplo está disponible en el repositorio de GitHub.

Prerrequisitos

• Una cuenta de Logto Cloud o un Logto autoalojado.
• Una aplicación web tradicional de Logto creada.

Instalación

Instala Logto SDK a través del gestor de paquetes:

bundle add logto

O cualquier otro método que prefieras para añadir gemas.

Integración

nota

La siguiente demostración es para Ruby on Rails. Sin embargo, puedes aplicar los mismos pasos a otros frameworks de Ruby.

Inicializar el cliente de Logto

En el archivo donde deseas inicializar el cliente de Logto (por ejemplo, un controlador base o un middleware), agrega el siguiente código:

require "logto/client"

@client = LogtoClient.new(
  config: LogtoClient::Config.new(
    endpoint: "https://your-logto-endpoint.com",
    app_id: "your-logto-app-id",
    app_secret: "your-logto-app-secret"
  ),
  navigate: ->(uri) { a_redirect_method(uri) },
  storage: LogtoClient::SessionStorage.new(the_session_object)
)
end

Por ejemplo, en un controlador de Rails, el código podría verse así:

app/controllers/sample_controller.rb

require "logto/client"

class SampleController < ApplicationController
  before_action :initialize_logto_client

  private

  def initialize_logto_client
    @client = LogtoClient.new(
      config: LogtoClient::Config.new(
        # ...tu configuración
      ),
      # Permitir que el cliente redirija a otros hosts (es decir, tu inquilino de Logto)
      navigate: ->(uri) { redirect_to(uri, allow_other_host: true) },
      # El controlador tiene acceso al objeto de sesión
      storage: LogtoClient::SessionStorage.new(session)
    )
  end
end

Configurar URIs de redirección

Antes de profundizar en los detalles, aquí tienes una visión general rápida de la experiencia del usuario final. El proceso de inicio de sesión se puede simplificar de la siguiente manera:

1. Tu aplicación invoca el método de inicio de sesión.
2. El usuario es redirigido a la página de inicio de sesión de Logto. Para aplicaciones nativas, se abre el navegador del sistema.
3. El usuario inicia sesión y es redirigido de vuelta a tu aplicación (configurada como el URI de redirección).

Sobre el inicio de sesión basado en redirección

1. Este proceso de autenticación sigue el protocolo OpenID Connect (OIDC), y Logto aplica medidas de seguridad estrictas para proteger el inicio de sesión del usuario.
2. Si tienes múltiples aplicaciones, puedes usar el mismo proveedor de identidad (Logto). Una vez que el usuario inicia sesión en una aplicación, Logto completará automáticamente el proceso de inicio de sesión cuando el usuario acceda a otra aplicación.

Para aprender más sobre la lógica y los beneficios del inicio de sesión basado en redirección, consulta Experiencia de inicio de sesión de Logto explicada.

---

nota

En los siguientes fragmentos de código, asumimos que tu aplicación está ejecutándose en http://localhost:3000/.

Configurar URIs de redirección

Cambia a la página de detalles de la aplicación en Logto Console. Añade una URI de redirección http://localhost:3000/callback.

Al igual que al iniciar sesión, los usuarios deben ser redirigidos a Logto para cerrar la sesión de la sesión compartida. Una vez terminado, sería ideal redirigir al usuario de vuelta a tu sitio web. Por ejemplo, añade http://localhost:3000/ como la sección de URI de redirección posterior al cierre de sesión.

Luego haz clic en "Guardar" para guardar los cambios.

Manejar el callback

Dado que el URI de redirección se ha establecido en http://localhost:3000/callback, necesita ser manejado en nuestra aplicación. En un controlador de Rails, puedes agregar el siguiente código:

app/controllers/sample_controller.rb

class SampleController < ApplicationController
  def callback
    @client.handle_sign_in_callback(url: request.original_url)
  end
end

Y configurar la ruta en config/routes.rb:

config/routes.rb

Rails.application.routes.draw do
  get "/callback", to: "sample#callback"
end

Invocar inicio de sesión y cierre de sesión

Hay varias maneras de invocar el inicio de sesión y el cierre de sesión en tu aplicación. Por ejemplo, puedes implementar dos rutas en tu aplicación Rails:

app/controllers/sample_controller.rb

class SampleController < ApplicationController
  def sign_in
    @client.sign_in(redirect_uri: request.base_url + "/callback")
  end

  def sign_out
    @client.sign_out(post_logout_redirect_uri: request.base_url)
  end

  # ...
end

config/routes.rb

Rails.application.routes.draw do
  get "/sign_in", to: "sample#sign_in"
  get "/sign_out", to: "sample#sign_out"

  # ...
end

Luego puedes crear botones o enlaces en tus vistas para activar estas acciones. Por ejemplo:

app/views/sample/index.html.erb

<% if @client.is_authenticated? %>
  <a href="<%= sign_out_path %>">Cerrar sesión</a>
<% else %>
  <a href="<%= sign_in_path %>">Iniciar sesión</a>
<% end %>

Punto de control: Prueba tu aplicación

Ahora, puedes probar tu aplicación:

1. Ejecuta tu aplicación, verás el botón de inicio de sesión.
2. Haz clic en el botón de inicio de sesión, el SDK iniciará el proceso de inicio de sesión y te redirigirá a la página de inicio de sesión de Logto.
3. Después de iniciar sesión, serás redirigido de vuelta a tu aplicación y verás el botón de cierre de sesión.
4. Haz clic en el botón de cierre de sesión para limpiar el almacenamiento local y cerrar sesión.

Obtener información del usuario

Mostrar información del usuario

Para mostrar la información del usuario, puedes usar el método @client.id_token_claims. Por ejemplo, en una vista:

app/views/sample/index.html.erb

<% if @client.is_authenticated? %>
  <p>Bienvenido, <%= @client.id_token_claims["name"] %></p>
<% else %>
  <p>Por favor, inicia sesión</p>
<% end %>

Por favor, consulta el método #id_token_claims en los gemdocs para más información.

Solicitar reclamos adicionales

Es posible que encuentres que falta alguna información del usuario en el objeto devuelto desde id_token_claims. Esto se debe a que OAuth 2.0 y OpenID Connect (OIDC) están diseñados para seguir el principio de privilegio mínimo (PoLP), y Logto está construido sobre estos estándares.

De forma predeterminada, se devuelven reclamos limitados. Si necesitas más información, puedes solicitar alcances adicionales para acceder a más reclamos.

info

Un "reclamo (Claim)" es una afirmación hecha sobre un sujeto; un "alcance (Scope)" es un grupo de reclamos. En el caso actual, un reclamo es una pieza de información sobre el usuario.

Aquí tienes un ejemplo no normativo de la relación alcance - reclamo:

tip

El reclamo "sub" significa "sujeto", que es el identificador único del usuario (es decir, el ID del usuario).

El SDK de Logto siempre solicitará tres alcances: openid, profile y offline_access.

Para solicitar alcances adicionales, puedes configurar la opción scopes en el objeto LogtoClient::Config:

require "logto/client"

@client = LogtoClient.new(
  config: LogtoClient::Config.new(
    # ...otras configuraciones
    scopes: ["email", "phone"] # Añadir más alcances según sea necesario
  ),
  # ...otras configuraciones
)

Luego puedes acceder a los reclamos adicionales a través de id_token_claims:

app/views/sample/index.html.erb

<% if @client.is_authenticated? %>
  <p>Nombre: <%= @client.id_token_claims["name"] %></p>
  <p>Email: <%= @client.id_token_claims["email"] %></p>
  <p>Teléfono: <%= @client.id_token_claims["phone"] %></p>
<% else %>
  <p>Por favor, inicia sesión</p>
<% end %>

Reclamos que necesitan solicitudes de red

Para evitar sobrecargar el Token de ID, algunos reclamos requieren solicitudes de red para ser obtenidos. Por ejemplo, el reclamo custom_data no se incluye en el objeto de usuario incluso si se solicita en los alcances. Para acceder a estos reclamos, puedes usar el método fetch_user_info:

app/views/sample/index.html.erb

<% if @client.is_authenticated? %>
<p>Datos personalizados: <%= @client.fetch_user_info["custom_data"] %></p>
<!-- ... -->

Este método obtendrá la información del usuario solicitando al endpoint de userinfo. Para aprender más sobre los alcances y reclamos disponibles, consulta la sección de Alcances y reclamos.

Alcances y reclamos

Logto utiliza las convenciones de alcances y reclamos (scopes and claims) de OIDC para definir los alcances y reclamos para obtener información del usuario del Token de ID y del endpoint userinfo de OIDC. Tanto "alcance" como "reclamo" son términos de las especificaciones de OAuth 2.0 y OpenID Connect (OIDC).

Aquí está la lista de alcances (Scopes) soportados y los reclamos (Claims) correspondientes:

openid

Nombre del reclamo	Tipo	Descripción	¿Necesita userinfo?
sub	string	El identificador único del usuario	No

profile

Nombre del reclamo	Tipo	Descripción	¿Necesita userinfo?
name	string	El nombre completo del usuario	No
username	string	El nombre de usuario del usuario	No
picture	string	URL de la foto de perfil del usuario final. Esta URL DEBE referirse a un archivo de imagen (por ejemplo, un archivo de imagen PNG, JPEG o GIF), en lugar de a una página web que contenga una imagen. Ten en cuenta que esta URL DEBERÍA referirse específicamente a una foto de perfil del usuario final adecuada para mostrar al describir al usuario final, en lugar de una foto arbitraria tomada por el usuario final.	No
created_at	number	Momento en que se creó el usuario final. El tiempo se representa como el número de milisegundos desde la época Unix (1970-01-01T00:00:00Z).	No
updated_at	number	Momento en que se actualizó por última vez la información del usuario final. El tiempo se representa como el número de milisegundos desde la época Unix (1970-01-01T00:00:00Z).	No

Otros reclamos estándar incluyen family_name, given_name, middle_name, nickname, preferred_username, profile, website, gender, birthdate, zoneinfo y locale también se incluirán en el alcance profile sin necesidad de solicitar el endpoint de userinfo. Una diferencia en comparación con los reclamos anteriores es que estos reclamos solo se devolverán cuando sus valores no estén vacíos, mientras que los reclamos anteriores devolverán null si los valores están vacíos.

nota

A diferencia de los reclamos estándar, los reclamos created_at y updated_at utilizan milisegundos en lugar de segundos.

email

Nombre del reclamo	Tipo	Descripción	¿Necesita userinfo?
email	string	La dirección de correo electrónico del usuario	No
email_verified	boolean	Si la dirección de correo electrónico ha sido verificada	No

phone

Nombre del reclamo	Tipo	Descripción	¿Necesita userinfo?
phone_number	string	El número de teléfono del usuario	No
phone_number_verified	boolean	Si el número de teléfono ha sido verificado	No

address

Por favor, consulta el OpenID Connect Core 1.0 para los detalles del reclamo de dirección.

custom_data

Nombre del reclamo	Tipo	Descripción	¿Necesita userinfo?
custom_data	object	Los datos personalizados del usuario	Sí

identities

Nombre del reclamo	Tipo	Descripción	¿Necesita userinfo?
identities	object	Las identidades vinculadas del usuario	Sí
sso_identities	array	Las identidades SSO vinculadas del usuario	Sí

urn:logto:scope:organizations

Nombre del reclamo	Tipo	Descripción	¿Necesita userinfo?
organizations	string[]	Los IDs de las organizaciones a las que pertenece el usuario	No
organization_data	object[]	Los datos de las organizaciones a las que pertenece el usuario	Sí

urn:logto:scope:organization_roles

Nombre del reclamo	Tipo	Descripción	¿Necesita userinfo?
organization_roles	string[]	Los roles de organización a los que pertenece el usuario con el formato <organization_id>:<role_name>	No

---

Considerando el rendimiento y el tamaño de los datos, si "¿Necesita userinfo?" es "Sí", significa que el reclamo no aparecerá en el Token de ID, pero se devolverá en la respuesta del endpoint de userinfo.

Recursos de API y organizaciones

Recomendamos leer primero 🔐 Control de acceso basado en roles (RBAC) para entender los conceptos básicos de Logto RBAC y cómo configurar correctamente los recursos de API.

Configurar el cliente de Logto

Una vez que hayas configurado los recursos de API, puedes agregarlos al configurar Logto en tu aplicación:

require "logto/client"

@client = LogtoClient.new(
  config: LogtoClient::Config.new(
    # ...otras configuraciones
    resources: ["https://shopping.your-app.com/api", "https://store.your-app.com/api"] # Añadir recursos de API
  ),
  # ...otras configuraciones
)

Cada recurso de API tiene sus propios permisos (alcances).

Por ejemplo, el recurso https://shopping.your-app.com/api tiene los permisos shopping:read y shopping:write, y el recurso https://store.your-app.com/api tiene los permisos store:read y store:write.

Para solicitar estos permisos, puedes agregarlos al configurar Logto en tu aplicación:

require "logto/client"

@client = LogtoClient.new(
  config: LogtoClient::Config.new(
    # ...otras configuraciones
    scopes: ["shopping:read", "shopping:write", "store:read", "store:write"],
    resources: ["https://shopping.your-app.com/api", "https://store.your-app.com/api"]
  ),
  # ...otras configuraciones
)

Puedes notar que los alcances se definen por separado de los recursos de API. Esto se debe a que Resource Indicators for OAuth 2.0 especifica que los alcances finales para la solicitud serán el producto cartesiano de todos los alcances en todos los servicios objetivo.

Así, en el caso anterior, los alcances se pueden simplificar desde la definición en Logto, ambos recursos de API pueden tener alcances read y write sin el prefijo. Luego, en la configuración de Logto:

require "logto/client"

@client = LogtoClient.new(
  config: LogtoClient::Config.new(
    # ...otras configuraciones
    scopes: ["read", "write"],
    resources: ["https://shopping.your-app.com/api", "https://store.your-app.com/api"]
  ),
  # ...otras configuraciones
)

Para cada recurso de API, se solicitarán tanto los alcances read como write.

nota

Está bien solicitar alcances que no están definidos en los recursos de API. Por ejemplo, puedes solicitar el alcance email incluso si los recursos de API no tienen el alcance email disponible. Los alcances no disponibles serán ignorados de manera segura.

Después de un inicio de sesión exitoso, Logto emitirá los alcances apropiados a los recursos de API de acuerdo con los roles del usuario.

Obtener token de acceso para el recurso de API

Para obtener el token de acceso para un recurso de API específico, puedes usar el método access_tpken:

token = @client.access_token(resource: "https://shopping.your-app.com/api")

Este método devolverá un token de acceso JWT que se puede usar para acceder al recurso de API cuando el usuario tiene permisos relacionados. Si el token de acceso en caché actual ha expirado, este método intentará automáticamente usar un token de actualización para obtener un nuevo token de acceso.

Obtener tokens de organización

Si la organización es nueva para ti, por favor lee 🏢 Organizaciones (Multi-tenancy) para comenzar.

Necesitas añadir el alcance LogtoCore::USER_SCOPE[:organizations] al configurar el cliente Logto:

require "logto/core"
require "logto/client"

@client = LogtoClient.new(
  config: LogtoClient::Config.new(
    # ...otras configuraciones
    scopes: [LogtoCore::USER_SCOPE[:organizations]]
  ),
  # ...otras configuraciones
)

Una vez que el usuario ha iniciado sesión, puedes obtener el token de organización para el usuario:

token = @client.access_token(organization_id: "organization_id")

Recursos de API de la organización

Para obtener un token de acceso para un recurso de API en una organización, puedes usar el método access_token con ambos, el recurso de API y el ID de la organización, como parámetros:

token = @client.access_token(
  api_resource: "https://shopping.your-app.com/api",
  organization_id: "organization_id"
)

Lecturas adicionales

Flujos de usuario final: flujos de autenticación, flujos de cuenta y flujos de organización Configurar conectores Protege tu API