Structure des données de l'application
Introduction
Dans Logto, une application fait référence à un programme ou service logiciel spécifique qui est enregistré sur la plateforme Logto et a reçu l'autorisation d'accéder aux informations des utilisateurs ou d'effectuer des actions au nom d'un utilisateur. Les applications sont utilisées pour identifier la source des requêtes faites à l'API Logto, ainsi que pour gérer le processus d'authentification et d'autorisation pour les utilisateurs accédant à ces applications.
L'utilisation des applications dans l'expérience de connexion de Logto permet aux utilisateurs d'accéder facilement et de gérer leurs applications autorisées depuis un seul endroit, avec un processus d'authentification cohérent et sécurisé. Cela aide à simplifier l'expérience utilisateur et à garantir que seules les personnes autorisées accèdent aux informations sensibles ou effectuent des actions au nom de l'organisation.
Les applications sont également utilisées dans les journaux d'audit de Logto pour suivre l'activité des utilisateurs et identifier toute menace ou violation potentielle de sécurité. En associant des actions spécifiques à une application particulière, Logto peut fournir des informations détaillées sur la façon dont les données sont accédées et utilisées, permettant aux organisations de mieux gérer leurs exigences de sécurité et de conformité. Si vous souhaitez intégrer votre application avec Logto, consultez Intégrer Logto.
Propriétés
ID de l'application
L'ID de l'application est une clé unique générée automatiquement pour identifier votre application dans Logto, et est référencée comme client id dans OAuth 2.0.
Types d'application
Une application peut être l'un des types d'application suivants :
- Application native est une application qui s'exécute dans un environnement natif. Par exemple, application iOS, application Android.
- Application monopage est une application qui s'exécute dans un navigateur web, qui met à jour la page avec les nouvelles données du serveur sans charger de nouvelles pages entières. Par exemple, application React DOM, application Vue.
- Application web traditionnelle est une application qui rend et met à jour les pages uniquement par le serveur web. Par exemple, JSP, PHP.
- Application machine à machine (M2M) est une application qui s'exécute dans un environnement machine pour une communication directe de service à service sans interaction utilisateur.
Secret de l'application
Le secret de l'application est une clé utilisée pour authentifier l'application dans le système d'authentification, spécifiquement pour les clients privés (applications web traditionnelles et M2M) en tant que barrière de sécurité privée.
Nom de l'application
Le nom de l'application est un nom lisible par l'homme de l'application et sera affiché dans la console d'administration.
Le nom de l'application est un composant important de la gestion des applications dans Logto, car il permet aux administrateurs d'identifier et de suivre facilement l'activité des applications individuelles au sein de la plateforme.
Il est important de noter que le nom de l'application doit être choisi avec soin, car il sera visible par tous les utilisateurs ayant accès à la console d'administration. Il doit refléter avec précision le but et la fonction de l'application, tout en étant facile à comprendre et à reconnaître.
Description
Une brève description de l'application sera affichée sur la page des détails de l'application dans la console d'administration. La description est destinée à fournir aux administrateurs des informations supplémentaires sur l'application, telles que son objectif, sa fonctionnalité et tout autre détail pertinent.
URIs de redirection
Les URIs de redirection sont une liste d'URIs de redirection valides qui ont été préconfigurées pour une application. Lorsqu'un utilisateur se connecte à Logto et tente d'accéder à l'application, il est redirigé vers l'une des URIs autorisées spécifiées dans les paramètres de l'application.
La liste des URIs autorisées est utilisée pour valider l'URI de redirection qui est incluse dans la requête d'autorisation envoyée par l'application à Logto pendant le processus d'authentification. Si l'URI de redirection spécifiée dans la requête d'autorisation correspond à l'une des URIs autorisées dans les paramètres de l'application, l'utilisateur est redirigé vers cette URI après une authentification réussie. Si l'URI de redirection n'est pas sur la liste autorisée, l'utilisateur ne sera pas redirigé et le processus d'authentification échouera.
Il est important de s'assurer que toutes les URIs de redirection valides sont ajoutées à la liste autorisée pour une application dans Logto, afin de garantir que les utilisateurs peuvent accéder avec succès à l'application après l'authentification.
Vous pouvez consulter le point de terminaison de redirection pour plus d'informations.
Comprendre les URIs de redirection dans OIDC avec le flux de code d'autorisation
URIs de redirection après déconnexion
Les URIs de redirection après déconnexion sont une liste d'URIs valides qui ont été préconfigurées pour une application afin de rediriger l'utilisateur après qu'il se soit déconnecté de Logto.
L'utilisation des URIs de redirection après déconnexion autorisées pour la déconnexion fait partie de la spécification de déconnexion initiée par la partie de confiance (RP-Initiated Logout) dans OIDC. Cette spécification fournit une méthode standardisée pour que les applications initient une requête de déconnexion pour un utilisateur, ce qui inclut la redirection de l'utilisateur vers un point de terminaison préconfiguré après qu'il se soit déconnecté.
Lorsqu'un utilisateur se déconnecte de Logto, sa session est terminée et il est redirigé vers l'une des URIs autorisées spécifiées dans les paramètres de l'application. Cela garantit que l'utilisateur est dirigé uniquement vers des points de terminaison autorisés et valides après qu'il se soit déconnecté, aidant à prévenir l'accès non autorisé et les risques de sécurité associés à la redirection des utilisateurs vers des points de terminaison inconnus ou non vérifiés.
Vous pouvez consulter la déconnexion initiée par la partie de confiance pour plus d'informations.
Origines autorisées CORS
Les origines autorisées CORS (partage de ressources cross-origin) sont une liste d'origines autorisées à partir desquelles une application peut faire des requêtes au service Logto. Toute origine qui n'est pas incluse dans la liste autorisée ne pourra pas faire de requêtes au service Logto.
La liste des origines autorisées CORS est utilisée pour restreindre l'accès au service Logto à partir de domaines non autorisés, et pour aider à prévenir les attaques de falsification de requêtes intersites (CSRF). En spécifiant les origines autorisées pour une application dans Logto, le service peut s'assurer que seuls les domaines autorisés peuvent faire des requêtes au service.
La liste des origines autorisées doit contenir l'origine où l'application sera servie. Cela garantit que les requêtes de l'application sont autorisées, tandis que les requêtes provenant d'origines non autorisées sont bloquées.
Point de terminaison de configuration du fournisseur OpenID
Le point de terminaison pour la découverte OpenID Connect.
Point de terminaison d'autorisation
Le point de terminaison d'autorisation est un terme OIDC, et c'est un point de terminaison requis qui est utilisé pour initier le processus d'authentification pour un utilisateur. Lorsqu'un utilisateur tente d'accéder à une ressource ou application protégée qui a été enregistrée sur la plateforme Logto, il sera redirigé vers le point de terminaison d'autorisation pour authentifier son identité et obtenir l'autorisation d'accéder à la ressource demandée.
Vous pouvez consulter le point de terminaison d'autorisation pour plus d'informations.
Point de terminaison de jeton
Le point de terminaison de jeton est un terme OIDC, c'est un point de terminaison d'API web qui est utilisé par un client OIDC pour obtenir un jeton d’accès, un jeton d’identifiant ou un jeton de rafraîchissement d'un fournisseur OIDC.
Lorsqu'un client OIDC a besoin d'obtenir un jeton d’accès ou un jeton d’identifiant, il envoie une requête au point de terminaison de jeton avec une autorisation, qui est généralement un code d'autorisation ou un jeton de rafraîchissement. Le point de terminaison de jeton valide alors l'autorisation et émet un jeton d’accès ou un jeton d’identifiant au client si l'autorisation est valide.
Vous pouvez consulter le point de terminaison de jeton pour plus d'informations.
Point de terminaison Userinfo
Le point de terminaison UserInfo d'OpenID Connect.
Toujours émettre un jeton de rafraîchissement
Disponibilité : Web traditionnel, SPA
Lorsqu'il est activé, Logto émettra toujours des jetons de rafraîchissement, que prompt=consent
soit présenté dans la requête d'authentification ou non, ni offline_access
soit présenté dans les portées.
Cependant, cette pratique est déconseillée sauf si nécessaire (généralement, elle est utile pour certaines intégrations OAuth tierces qui nécessitent un jeton de rafraîchissement), car elle n'est pas compatible avec OpenID Connect et peut potentiellement causer des problèmes.
Rotation du jeton de rafraîchissement
Défaut : true
Lorsqu'il est activé, Logto émettra un nouveau jeton de rafraîchissement pour les requêtes de jeton dans les conditions suivantes :
- Si le jeton de rafraîchissement a été tourné (a prolongé sa durée de vie en émettant un nouveau) pendant un an ; OU
- Si le jeton de rafraîchissement est proche de son expiration (>=70 % de sa durée de vie originale (TTL) passée) ; OU
- Si le client est un client public, par exemple une application native ou une application monopage (SPA).
Pour les clients publics, lorsque cette fonctionnalité est activée, un nouveau jeton de rafraîchissement sera toujours émis lorsque le client échange un nouveau jeton d’accès en utilisant le jeton de rafraîchissement. Bien que vous puissiez toujours désactiver la fonctionnalité pour ces clients publics, il est fortement recommandé de la garder activée pour des raisons de sécurité.
Comprendre la rotation des jetons de rafraîchissement
Durée de vie (TTL) du jeton de rafraîchissement en jours
Disponibilité : Pas SPA ; Défaut : 14 jours
La durée pendant laquelle un jeton de rafraîchissement peut être utilisé pour demander de nouveaux jetons d’accès avant qu'il n'expire et devienne invalide. Les requêtes de jeton prolongeront la durée de vie du jeton de rafraîchissement à cette valeur.
En général, une valeur plus basse est préférée.
Note : Le rafraîchissement de la durée de vie n'est pas disponible dans SPA (application monopage) pour des raisons de sécurité. Cela signifie que Logto ne prolongera pas la durée de vie par le biais de requêtes de jeton. Pour améliorer l'expérience utilisateur, vous pouvez activer la fonctionnalité "Rotation du jeton de rafraîchissement", permettant à Logto d'émettre un nouveau jeton de rafraîchissement si nécessaire.
URI de déconnexion backchannel
Le point de terminaison de déconnexion backchannel d'OpenID Connect. Voir Déconnexion fédérée : Déconnexion back-channel pour plus d'informations.
Données personnalisées
Informations supplémentaires personnalisées sur l'application non listées dans les propriétés d'application prédéfinies, les utilisateurs peuvent définir leurs propres champs de données personnalisées selon leurs besoins spécifiques, tels que les paramètres et configurations spécifiques à l'entreprise.