Pular para o conteúdo principal

Estrutura de dados da aplicação

Introdução

No Logto, uma aplicação refere-se a um programa de software ou serviço específico que está registrado na plataforma Logto e recebeu autorização para acessar informações do usuário ou realizar ações em nome de um usuário. As aplicações são usadas para identificar a origem das solicitações feitas à API do Logto, bem como para gerenciar o processo de autenticação e autorização para usuários que acessam essas aplicações.

O uso de aplicações na experiência de login do Logto permite que os usuários acessem e gerenciem facilmente suas aplicações autorizadas a partir de um único local, com um processo de autenticação consistente e seguro. Isso ajuda a simplificar a experiência do usuário e garante que apenas indivíduos autorizados estejam acessando informações sensíveis ou realizando ações em nome da organização.

As aplicações também são usadas nos logs de auditoria do Logto para rastrear a atividade do usuário e identificar quaisquer ameaças ou violações de segurança potenciais. Ao associar ações específicas a uma aplicação em particular, o Logto pode fornecer insights detalhados sobre como os dados estão sendo acessados e usados, permitindo que as organizações gerenciem melhor seus requisitos de segurança e conformidade. Se você deseja integrar sua aplicação com o Logto, veja Integrar Logto.

Propriedades

ID da aplicação

ID da aplicação é uma chave única gerada automaticamente para identificar sua aplicação no Logto e é referenciada como client id no OAuth 2.0.

Tipos de aplicação

Uma aplicação pode ser um dos seguintes tipos de aplicação:

  • Aplicativo nativo é um aplicativo que roda em um ambiente nativo. Ex.: aplicativo iOS, aplicativo Android.
  • Aplicativo de página única é um aplicativo que roda em um navegador web, que atualiza a página com os novos dados do servidor sem carregar páginas inteiras novas. Ex.: aplicativo React DOM, aplicativo Vue.
  • Aplicativo web tradicional é um aplicativo que renderiza e atualiza páginas apenas pelo servidor web. Ex.: JSP, PHP.
  • Aplicativo máquina para máquina (M2M) é um aplicativo que roda em um ambiente de máquina para comunicação direta de serviço para serviço sem interação do usuário.

Segredo da aplicação

Segredo da aplicação é uma chave usada para autenticar a aplicação no sistema de autenticação, especificamente para clientes privados (aplicativos web tradicionais e M2M) como uma barreira de segurança privada.

Nome da aplicação

Nome da aplicação é um nome legível por humanos da aplicação e será exibido no console de administração.

O Nome da aplicação é um componente importante do gerenciamento de aplicações no Logto, pois permite que os administradores identifiquem e rastreiem facilmente a atividade de aplicações individuais dentro da plataforma.

É importante notar que o _Nome da aplicação_ deve ser escolhido cuidadosamente, pois será visível para todos os usuários que têm acesso ao console de administração. Ele deve refletir com precisão o propósito e a função da aplicação, além de ser fácil de entender e reconhecer.

Descrição

Uma breve descrição da aplicação será exibida na página de detalhes da aplicação no console de administração. A descrição destina-se a fornecer aos administradores informações adicionais sobre a aplicação, como seu propósito, funcionalidade e quaisquer outros detalhes relevantes.

URIs de redirecionamento

URIs de redirecionamento são uma lista de URIs de redirecionamento válidos que foram pré-configurados para uma aplicação. Quando um usuário faz login no Logto e tenta acessar a aplicação, ele é redirecionado para um dos URIs permitidos especificados nas configurações da aplicação.

A lista de URIs permitidos é usada para validar o URI de redirecionamento que está incluído na solicitação de autorização enviada pela aplicação ao Logto durante o processo de autenticação. Se o URI de redirecionamento especificado na solicitação de autorização corresponder a um dos URIs permitidos nas configurações da aplicação, o usuário será redirecionado para esse URI após a autenticação bem-sucedida. Se o URI de redirecionamento não estiver na lista permitida, o usuário não será redirecionado e o processo de autenticação falhará.

É importante garantir que todos os URIs de redirecionamento válidos sejam adicionados à lista permitida para uma aplicação no Logto, a fim de garantir que os usuários possam acessar a aplicação com sucesso após a autenticação.

Você pode conferir o Ponto de extremidade de redirecionamento para mais informações.

URIs de redirecionamento pós logout

URIs de redirecionamento pós logout são uma lista de URIs válidos que foram pré-configurados para uma aplicação redirecionar o usuário após ele ter feito logout do Logto.

O uso de URIs de redirecionamento pós logout permitidos para logout faz parte da especificação de logout iniciado pela RP (Relying Party Initiated) no OIDC. Esta especificação fornece um método padronizado para aplicações iniciarem uma solicitação de logout para um usuário, que inclui redirecionar o usuário para um ponto de extremidade pré-configurado após ele ter feito logout.

Quando um usuário faz logout do Logto, sua sessão é encerrada e ele é redirecionado para um dos URIs permitidos especificados nas configurações da aplicação. Isso garante que o usuário seja direcionado apenas para pontos de extremidade autorizados e válidos após ter feito logout, ajudando a prevenir acesso não autorizado e riscos de segurança associados ao redirecionamento de usuários para pontos de extremidade desconhecidos ou não verificados.

Você pode conferir o Logout iniciado pela RP para mais informações.

Origens permitidas pelo CORS

As origens permitidas pelo CORS (Cross-origin resource sharing) são uma lista de origens permitidas de onde uma aplicação pode fazer solicitações ao serviço Logto. Qualquer origem que não esteja incluída na lista permitida não poderá fazer solicitações ao serviço Logto.

A lista de origens permitidas pelo CORS é usada para restringir o acesso ao serviço Logto de domínios não autorizados e para ajudar a prevenir ataques de falsificação de solicitação entre sites (CSRF). Ao especificar as origens permitidas para uma aplicação no Logto, o serviço pode garantir que apenas domínios autorizados possam fazer solicitações ao serviço.

A lista de origens permitidas deve conter a origem onde a aplicação será servida. Isso garante que as solicitações da aplicação sejam permitidas, enquanto solicitações de origens não autorizadas são bloqueadas.

Ponto de extremidade de configuração do provedor OpenID

O ponto de extremidade para Descoberta do OpenID Connect.

Ponto de extremidade de autorização

Ponto de extremidade de autorização é um termo do OIDC, e é um ponto de extremidade necessário que é usado para iniciar o processo de autenticação para um usuário. Quando um usuário tenta acessar um recurso ou aplicação protegida que foi registrada na plataforma Logto, ele será redirecionado para o Ponto de extremidade de autorização para autenticar sua identidade e obter autorização para acessar o recurso solicitado.

Você pode conferir o Ponto de extremidade de autorização para mais informações.

Ponto de extremidade de token

Ponto de extremidade de token é um termo do OIDC, é um ponto de extremidade de API web que é usado por um cliente OIDC para obter um token de acesso, um token de ID ou um token de atualização de um provedor OIDC.

Quando um cliente OIDC precisa obter um token de acesso ou token de ID, ele envia uma solicitação ao Ponto de extremidade de token com uma concessão de autorização, que é tipicamente um código de autorização ou um token de atualização. O Ponto de extremidade de token então valida a concessão de autorização e emite um token de acesso ou token de ID para o cliente se a concessão for válida.

Você pode conferir o Ponto de extremidade de token para mais informações.

Ponto de extremidade de informações do usuário

O Ponto de extremidade de informações do usuário do OpenID Connect.

Sempre emitir token de atualização

Disponibilidade: Aplicativo web tradicional, SPA

Quando ativado, o Logto sempre emitirá tokens de atualização, independentemente de prompt=consent ser apresentado na solicitação de autenticação, nem offline_access ser apresentado nos escopos.

No entanto, essa prática é desencorajada, a menos que necessário (geralmente é útil para algumas integrações de OAuth de terceiros que exigem token de atualização), pois não é compatível com o OpenID Connect e pode potencialmente causar problemas.

Rotacionar token de atualização

Padrão: true

Quando ativado, o Logto emitirá um novo token de atualização para solicitações de token sob as seguintes condições:

  • Se o token de atualização tiver sido rotacionado (ter seu TTL prolongado emitindo um novo) por um ano; OU
  • Se o token de atualização estiver próximo ao seu tempo de expiração (>=70% do seu Tempo de Vida (TTL) original passado); OU
  • Se o cliente for um cliente público, por exemplo, aplicativo nativo ou aplicativo de página única (SPA).
nota

Para clientes públicos, quando esse recurso está ativado, um novo token de atualização sempre será emitido quando o cliente estiver trocando por um novo token de acesso usando o token de atualização. Embora você ainda possa desativar o recurso para esses clientes públicos, é altamente recomendável mantê-lo ativado por razões de segurança.

Tempo de vida (TTL) do token de atualização em dias

Disponibilidade: Não SPA; Padrão: 14 dias

A duração pela qual um token de atualização pode ser usado para solicitar novos tokens de acesso antes que expire e se torne inválido. As solicitações de token estenderão o TTL do token de atualização para esse valor.

Normalmente, um valor mais baixo é preferido.

Nota: A atualização do TTL não está disponível em SPA (aplicativo de página única) por razões de segurança. Isso significa que o Logto não estenderá o TTL através de solicitações de token. Para melhorar a experiência do usuário, você pode ativar o recurso "Rotacionar token de atualização", permitindo que o Logto emita um novo token de atualização quando necessário.

URI de logout de backchannel

O ponto de extremidade de logout de backchannel do OpenID Connect. Veja Logout federado: Logout de back-channel para mais informações.

Dados personalizados

Informações adicionais personalizadas da aplicação não listadas nas propriedades predefinidas da aplicação, os usuários podem definir seus próprios campos de dados personalizados de acordo com suas necessidades específicas, como configurações e configurações específicas de negócios.