Inscription et connexion
L'inscription et la connexion constituent le processus d'interaction principal permettant aux utilisateurs finaux de s'authentifier et d'autoriser l'accès aux applications clientes. En tant que plateforme CIAM centralisée basée sur OIDC, Logto offre une expérience de connexion universelle pour les utilisateurs à travers plusieurs applications clientes et plateformes.
Parcours utilisateur
Dans un flux d'authentification OIDC typique, l'utilisateur commence par ouvrir l'application cliente. L'application cliente envoie une requête d’autorisation (authorization request) au fournisseur OIDC Logto. Si l'utilisateur n'a pas de session active, Logto invite l'utilisateur à la page d'expérience de connexion hébergée par Logto. L'utilisateur interagit avec la page d'expérience Logto et s'authentifie en fournissant les identifiants nécessaires. Une fois l'utilisateur authentifié avec succès, Logto le redirige vers l'application cliente avec le code d’autorisation (authorization code). L'application cliente envoie alors une requête de jeton (token request) au fournisseur OIDC Logto avec le code d’autorisation pour obtenir les jetons.
Interaction utilisateur
Une session d’interaction est créée pour chaque interaction utilisateur lorsqu'une application cliente initie une requête d’autorisation. Cette session centralise l’état d’interaction utilisateur à travers plusieurs applications clientes, permettant à Logto d’offrir une expérience de connexion cohérente. Lorsque les utilisateurs passent d’une application cliente à une autre, la session d’interaction reste cohérente, maintenant le statut d’authentification de l’utilisateur et réduisant le besoin de se reconnecter sur différentes plateformes. Une fois la session d’interaction établie, l’utilisateur est invité à se connecter à Logto.
L’application d’expérience dans Logto est une application dédiée et hébergée qui facilite l’expérience de connexion. Lorsque les utilisateurs doivent s’authentifier, ils sont dirigés vers l’application d’expérience, où ils complètent leur connexion et interagissent avec Logto. L’application d’expérience utilise la session d’interaction active pour suivre et soutenir la progression de l’interaction utilisateur.
Pour soutenir et contrôler ce parcours utilisateur, Logto propose un ensemble d’Experience APIs basées sur les sessions. Ces APIs permettent à l’application d’expérience de gérer un large éventail de méthodes d’identification et de vérification utilisateur en mettant à jour et en accédant à l’état de la session d’interaction en temps réel.
Une fois que l’utilisateur satisfait à toutes les exigences de validation et de vérification, la session d’interaction se termine par une soumission du résultat au fournisseur OIDC, où l’utilisateur est pleinement authentifié et a donné son consentement, finalisant ainsi le processus de connexion sécurisé.
Les pages d’expérience sont conçues pour être accessibles uniquement via le flux d’authentification. Pour empêcher les moteurs de recherche d’indexer ces pages et éviter l’accès direct, Logto ajoute automatiquement <meta name="robots" content="noindex, nofollow" /> à la page HTML d’expérience.
Personnalisation de l’expérience de connexion
Logto offre une expérience utilisateur flexible et personnalisable pour répondre à divers besoins métier, incluant la personnalisation de la marque, de l’interface utilisateur et des parcours d’interaction. L’application d’expérience peut être adaptée pour répondre aux exigences de marque et de sécurité de l’application cliente.
Continuez à en apprendre davantage sur la configuration et la personnalisation de l’expérience de connexion dans Logto.
Méthodes de connexion courantes
Selon les besoins de votre produit, vous pouvez combiner plusieurs méthodes de connexion dans la même expérience hébergée par Logto :
- Connexion par e-mail / téléphone / nom d’utilisateur : Connexion classique "identifiant d’abord" avec mot de passe ou code de vérification.
- Connexion sociale : Connexion avec Google, GitHub, Facebook et d’autres fournisseurs sociaux.
- Connexion par passkey : Connexion sans mot de passe avec passkeys WebAuthn, incluant bouton direct, vérification passkey "identifiant d’abord" et connexion par saisie automatique.
FAQ
Méthode d’expérience de connexion ou personnalisation par application
Pour les applications ou organisations nécessitant des interfaces de connexion distinctes, Logto prend en charge la personnalisation spécifique à l’application et la personnalisation spécifique à l’organisation.
Si vous souhaitez proposer différentes méthodes de connexion selon le type d’utilisateur ou le site, utilisez simplement les paramètres d’authentification (par exemple, first_screen et direct_sign_in) pour orienter les utilisateurs vers une page adaptée avec des options de connexion personnalisées.
Limiter le domaine e-mail / adresse IP / région
Pour le contrôle d’accès basé sur les attributs, par exemple limiter la connexion selon le domaine e-mail, l’adresse IP ou la région, vous pouvez utiliser la fonctionnalité Revendications de jeton personnalisées (Custom token claims) dans Logto pour refuser ou autoriser les requêtes d’autorisation selon les attributs de l’utilisateur.
API sans interface pour la connexion et l’inscription
Actuellement, Logto ne propose pas d’API sans interface pour la connexion et l’inscription. Cependant, vous pouvez apporter votre propre interface de connexion en utilisant la fonctionnalité Apportez votre propre interface (Bring your own UI) pour personnaliser l’expérience de connexion et d’inscription.
Ressources associées
Pourquoi vous devriez abandonner le type de flux Resource Owner Password Credentials (ROPC)
Pourquoi utiliser le flux de code d’autorisation plutôt que le flux implicite ?
Comparaison entre l’authentification basée sur les jetons et l’authentification basée sur les sessions