เพิ่มการยืนยันตัวตนให้กับเว็บแอป PHP ของคุณ (Add authentication to your PHP web application)
คู่มือนี้จะแสดงวิธีการผสานรวม Logto เข้ากับเว็บแอปพลิเคชัน PHP ของคุณ
- ตัวอย่าง ใช้ Laravel แต่แนวคิดเดียวกันนี้สามารถนำไปใช้กับเฟรมเวิร์กอื่น ๆ ได้เช่นกัน
ข้อกำหนดเบื้องต้น
- บัญชี Logto Cloud หรือ Logto ที่โฮสต์เอง (ดูคู่มือ แนะนำเบื้องต้น เพื่อสร้างบัญชีหากคุณยังไม่มี)
- สร้างแอปพลิเคชันเว็บแบบดั้งเดิมของ Logto แล้ว
การติดตั้ง
composer require logto/sdk
การผสานรวม
เริ่มต้น LogtoClient
ก่อนอื่น สร้างการตั้งค่า Logto:
use Logto\Sdk\LogtoClient;
use Logto\Sdk\LogtoConfig;
$client = new LogtoClient(
new LogtoConfig(
endpoint: "https://you-logto-endpoint.app",
appId: "replace-with-your-app-id",
appSecret: "replace-with-your-app-secret",
),
);
คุณสามารถค้นหาและคัดลอก "App Secret" ได้จากหน้ารายละเอียดแอปพลิเคชันใน Admin Console:
โดยปกติ SDK จะใช้ session ของ PHP ที่มีมาในตัวเพื่อเก็บข้อมูล Logto หากคุณต้องการใช้ที่เก็บข้อมูลอื่น สามารถส่งอ็อบเจกต์ storage แบบกำหนดเองเป็นพารามิเตอร์ตัวที่สองได้:
$client = new LogtoClient(
new LogtoConfig(
// ...
),
new YourCustomStorage(),
);
ดูรายละเอียดเพิ่มเติมได้ที่ Storage
กำหนดค่า redirect URIs
ก่อนที่เราจะลงลึกในรายละเอียด นี่คือภาพรวมประสบการณ์ของผู้ใช้ปลายทาง กระบวนการลงชื่อเข้าใช้สามารถสรุปได้ดังนี้:
- แอปของคุณเรียกใช้งานเมธอดลงชื่อเข้าใช้
- ผู้ใช้จะถูกเปลี่ยนเส้นทางไปยังหน้าลงชื่อเข้าใช้ของ Logto สำหรับแอปเนทีฟ ระบบจะเปิดเบราว์เซอร์ของระบบ
- ผู้ใช้ลงชื่อเข้าใช้และถูกเปลี่ยนเส้นทางกลับไปยังแอปของคุณ (ตามที่กำหนดไว้ใน redirect URI)
เกี่ยวกับการลงชื่อเข้าใช้แบบเปลี่ยนเส้นทาง (redirect-based sign-in)
- กระบวนการยืนยันตัวตนนี้เป็นไปตามโปรโตคอล OpenID Connect (OIDC) และ Logto บังคับใช้มาตรการรักษาความปลอดภัยอย่างเข้มงวดเพื่อปกป้องการลงชื่อเข้าใช้ของผู้ใช้
- หากคุณมีหลายแอป คุณสามารถใช้ผู้ให้บริการข้อมูลระบุตัวตน (Logto) เดียวกันได้ เมื่อผู้ใช้ลงชื่อเข้าใช้แอปหนึ่งแล้ว Logto จะดำเนินการลงชื่อเข้าใช้โดยอัตโนมัติเมื่อผู้ใช้เข้าถึงแอปอื่น
หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับเหตุผลและประโยชน์ของการลงชื่อเข้าใช้แบบเปลี่ยนเส้นทาง โปรดดูที่ อธิบายประสบการณ์การลงชื่อเข้าใช้ของ Logto
ในตัวอย่างโค้ดต่อไปนี้ เราถือว่าแอปของคุณกำลังทำงานอยู่ที่ http://localhost:3000/
กำหนดค่า Redirect URI
ไปที่หน้ารายละเอียดแอปพลิเคชันใน Logto Console เพิ่ม redirect URI http://localhost:3000/callback
เช่นเดียวกับการลงชื่อเข้าใช้ ผู้ใช้ควรถูกเปลี่ยนเส้นทางไปที่ Logto เพื่อออกจากเซสชันที่ใช้ร่วมกัน เมื่อเสร็จสิ้นแล้ว ควรเปลี่ยนเส้นทางผู้ใช้กลับไปยังเว็บไซต์ของคุณ ตัวอย่างเช่น เพิ่ม http://localhost:3000/ ในส่วน post sign-out redirect URI
จากนั้นคลิก "Save" เพื่อบันทึกการเปลี่ยนแปลง
จัดการ callback
หลังจากผู้ใช้ลงชื่อเข้าใช้แล้ว Logto จะเปลี่ยนเส้นทางผู้ใช้ไปยัง callback URL ที่คุณตั้งค่าไว้ใน Logto Console ในตัวอย่างนี้ เราใช้ /callback เป็น callback URL:
Route::get('/callback', function () {
try {
$client->handleSignInCallback(); // จัดการกระบวนการต่าง ๆ ที่เกี่ยวข้อง
} catch (\Throwable $exception) {
return $exception; // เปลี่ยนส่วนนี้เป็นตรรกะจัดการข้อผิดพลาดของคุณ
}
return redirect('/'); // เปลี่ยนเส้นทางผู้ใช้ไปยังหน้าแรกหลังลงชื่อเข้าใช้สำเร็จ
});
สร้างเส้นทางสำหรับลงชื่อเข้าใช้
ในแอปพลิเคชันเว็บของคุณ ให้เพิ่มเส้นทาง (route) เพื่อจัดการคำขอลงชื่อเข้าใช้จากผู้ใช้อย่างถูกต้อง ตัวอย่างเช่น:
Route::get('/sign-in', function () {
return redirect($client->signIn('http://localhost:3000/callback'));
});
แทนที่ http://localhost:3000/callback ด้วย callback URL ที่คุณตั้งค่าไว้ใน Logto Console สำหรับแอปพลิเคชันนี้
หากคุณต้องการแสดงหน้าสมัครสมาชิก (sign-up) ในหน้าจอแรก สามารถตั้งค่า interactionMode เป็น signUp ได้ดังนี้:
Route::get('/sign-in', function () {
return redirect($client->signIn('http://localhost:3000/callback', InteractionMode::signUp));
});
ตอนนี้ ทุกครั้งที่ผู้ใช้ของคุณเข้าชม http://localhost:3000/sign-in จะเริ่มความพยายามลงชื่อเข้าใช้ใหม่ และเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าลงชื่อเข้าใช้ของ Logto
หมายเหตุ การสร้างเส้นทางลงชื่อเข้าใช้ไม่ใช่วิธีเดียวในการเริ่มต้นความพยายามลงชื่อเข้าใช้ คุณสามารถใช้เมธอด
signInเพื่อรับ URL สำหรับลงชื่อเข้าใช้และเปลี่ยนเส้นทางผู้ใช้ไปยังหน้านั้นได้เสมอ
สร้างเส้นทางสำหรับลงชื่อออก
หลังจากที่ผู้ใช้ส่งคำขอลงชื่อออก Logto จะล้างข้อมูลการยืนยันตัวตนของผู้ใช้ทั้งหมดในเซสชัน
เพื่อทำความสะอาดเซสชัน PHP และเซสชันของ Logto สามารถสร้างเส้นทางสำหรับลงชื่อออกได้ดังนี้:
Route::get('/sign-out', function () {
return redirect(
// เปลี่ยนเส้นทางผู้ใช้ไปยังหน้าแรกหลังจากลงชื่อออกสำเร็จ
$client->signOut('http://localhost:3000/')
);
});
postLogoutRedirectUri เป็นตัวเลือกเสริม และหากไม่ได้ระบุไว้ ผู้ใช้จะถูกเปลี่ยนเส้นทางไปยังหน้าพื้นฐานของ Logto หลังจากออกจากระบบสำเร็จ (โดยจะไม่เปลี่ยนเส้นทางกลับไปยังแอปพลิเคชันของคุณ)
หมายเหตุ ชื่อ
postLogoutRedirectUriมาจากข้อกำหนด OpenID Connect RP-Initiated Logout แม้ว่า Logto จะใช้คำว่า "sign-out" แทน "logout" แต่แนวคิดยังคงเหมือนเดิม
จัดการสถานะการยืนยันตัวตน
ใน Logto SDK เราสามารถใช้ $client->isAuthenticated() เพื่อตรวจสอบสถานะการยืนยันตัวตน (authentication) ได้ หากผู้ใช้ลงชื่อเข้าใช้แล้ว ค่านี้จะเป็น true หากยังไม่ได้ลงชื่อเข้าใช้ ค่านี้จะเป็น false
เรายังต้องสร้างหน้าแรกสำหรับการสาธิตดังนี้:
- หากผู้ใช้ยังไม่ได้ลงชื่อเข้าใช้ ให้แสดงปุ่มลงชื่อเข้าใช้
- หากผู้ใช้ลงชื่อเข้าใช้แล้ว ให้แสดงปุ่มลงชื่อออก
Route::get('/', function () {
if ($client->isAuthenticated() === false) {
return "ยังไม่ได้ยืนยันตัวตน <a href='/sign-in'>ลงชื่อเข้าใช้</a>";
}
return "<a href='/sign-out'>ลงชื่อออก</a>";
});
จุดตรวจสอบ: ทดสอบแอปพลิเคชันของคุณ
ตอนนี้คุณสามารถทดสอบแอปพลิเคชันของคุณได้แล้ว:
- รันแอปพลิเคชันของคุณ คุณจะเห็นปุ่มลงชื่อเข้าใช้
- คลิกปุ่มลงชื่อเข้าใช้ SDK จะเริ่มกระบวนการลงชื่อเข้าใช้และเปลี่ยนเส้นทางคุณไปยังหน้าลงชื่อเข้าใช้ของ Logto
- หลังจากที่คุณลงชื่อเข้าใช้แล้ว คุณจะถูกเปลี่ยนเส้นทางกลับไปยังแอปพลิเคชันของคุณและเห็นปุ่มลงชื่อออก
- คลิกปุ่มลงชื่อออกเพื่อเคลียร์ที่เก็บโทเค็นและออกจากระบบ
รับข้อมูลผู้ใช้
แสดงข้อมูลผู้ใช้
เพื่อแสดงข้อมูลของผู้ใช้ คุณสามารถใช้เมธอด getIdTokenClaims หรือ fetchUserInfo เพื่อดึงข้อมูลผู้ใช้ได้ โดย getIdTokenClaims จะคืนค่าข้อมูลผู้ใช้ที่อยู่ในโทเค็น ID (ID token) ส่วน fetchUserInfo จะดึงข้อมูลผู้ใช้จาก userinfo endpoint
Route::get('/userinfo', function () {
if ($client->isAuthenticated() === false) {
return "ยังไม่ได้ยืนยันตัวตน <a href='/sign-in'>ลงชื่อเข้าใช้</a>";
}
return (
// ดึงข้อมูล claims ของโทเค็น ID ในเครื่อง
json_decode($client->getIdTokenClaims())
. "<br>"
// ดึงข้อมูลผู้ใช้จาก userinfo endpoint ของ Logto
json_decode($client->fetchUserInfo())
);
});
โมเดลข้อมูลของเราอ้างอิงจาก JsonModel ซึ่งสามารถรับคีย์ที่ไม่ได้กำหนดไว้ล่วงหน้าได้อย่างปลอดภัยขณะเข้ารหัสหรือถอดรหัส JSON
โปรดทราบว่า ฟิลด์ (การอ้างสิทธิ์ (claim)) ที่มีค่า null ไม่ได้หมายความว่าฟิลด์นั้นถูกตั้งค่าแล้ว สาเหตุอาจเป็นเพราะขอบเขต (scope) ที่เกี่ยวข้องไม่ได้ร้องขอ หรือผู้ใช้ไม่มีฟิลด์นั้น
ตัวอย่างเช่น หากเราไม่ได้ร้องขอขอบเขต email ขณะลงชื่อเข้าใช้ ฟิลด์ email จะเป็น null อย่างไรก็ตาม หากร้องขอขอบเขต email ฟิลด์ email จะเป็นที่อยู่อีเมลของผู้ใช้ (ถ้ามี)
ร้องขอการอ้างสิทธิ์เพิ่มเติม
คุณอาจพบว่าข้อมูลผู้ใช้บางอย่างหายไปในอ็อบเจกต์ที่ส่งคืนจาก getIdTokenClaims สาเหตุเนื่องจาก OAuth 2.0 และ OpenID Connect (OIDC) ถูกออกแบบมาให้สอดคล้องกับหลักการสิทธิ์น้อยที่สุด (principle of least privilege; PoLP) และ Logto ถูกสร้างขึ้นบนมาตรฐานเหล่านี้
โดยปกติแล้ว จะมีการส่งคืนการอ้างสิทธิ์ (claim) แบบจำกัด หากคุณต้องการข้อมูลเพิ่มเติม คุณสามารถร้องขอขอบเขต (scope) เพิ่มเติมเพื่อเข้าถึงการอ้างสิทธิ์ (claim) ที่มากขึ้นได้
"การอ้างสิทธิ์ (Claim)" คือการยืนยันข้อมูลบางอย่างเกี่ยวกับผู้ถูกอ้างถึง (subject); "ขอบเขต (Scope)" คือกลุ่มของการอ้างสิทธิ์ (claim) ในกรณีนี้ การอ้างสิทธิ์ (claim) คือข้อมูลบางอย่างเกี่ยวกับผู้ใช้
ตัวอย่างที่ไม่เป็นทางการของความสัมพันธ์ระหว่างขอบเขต (scope) กับการอ้างสิทธิ์ (claim) มีดังนี้:
การอ้างสิทธิ์ (claim) "sub" หมายถึง "ผู้ถูกอ้างถึง (subject)" ซึ่งคือตัวระบุที่ไม่ซ้ำของผู้ใช้ (เช่น user ID)
Logto SDK จะร้องขอขอบเขต (scope) สามรายการเสมอ ได้แก่ openid, profile และ offline_access
หากต้องการร้องขอขอบเขตเพิ่มเติม คุณสามารถกำหนดค่า scopes ขณะเริ่มต้น Logto client ได้ดังนี้:
$client = new LogtoClient(
new LogtoConfig(
// ...การตั้งค่าอื่น ๆ
scopes: ["email", "phone"], // ปรับตามที่ต้องการ
),
);
หรือจะใช้ enum UserScope เพื่อเพิ่ม scopes ก็ได้:
use Logto\Sdk\Constants\UserScope;
$client = new LogtoClient(
new LogtoConfig(
// ...การตั้งค่าอื่น ๆ
scopes: [UserScope::email, UserScope::phone], // ปรับตามที่ต้องการ
),
);
จากนั้น การอ้างสิทธิ์ (claims) เพิ่มเติมจะปรากฏในค่าที่คืนมาของ getIdTokenClaims หรือ fetchUserInfo
การอ้างสิทธิ์ (Claims) ที่ต้องใช้การร้องขอผ่านเครือข่าย
เพื่อป้องกันไม่ให้โทเค็น ID (ID token) มีขนาดใหญ่เกินไป การอ้างสิทธิ์บางรายการจำเป็นต้องร้องขอผ่านเครือข่ายเพื่อดึงข้อมูล ตัวอย่างเช่น การอ้างสิทธิ์ custom_data จะไม่ถูกรวมอยู่ในอ็อบเจกต์ผู้ใช้ แม้ว่าจะร้องขอไว้ในขอบเขต (scopes) ก็ตาม หากต้องการเข้าถึงการอ้างสิทธิ์เหล่านี้ คุณสามารถใช้เมธอด fetchUserInfo:
$client->fetchUserInfo()->custom_data;
ขอบเขตและการอ้างสิทธิ์ (Scopes and claims)
Logto ใช้มาตรฐาน ขอบเขต (scopes) และ การอ้างสิทธิ์ (claims) ของ OIDC เพื่อกำหนดขอบเขตและการอ้างสิทธิ์สำหรับดึงข้อมูลผู้ใช้จากโทเค็น ID (ID token) และ OIDC userinfo endpoint ทั้ง "ขอบเขต (scope)" และ "การอ้างสิทธิ์ (claim)" เป็นคำศัพท์จากข้อกำหนดของ OAuth 2.0 และ OpenID Connect (OIDC)
ต่อไปนี้คือรายการขอบเขต (Scopes) ที่รองรับและการอ้างสิทธิ์ (Claims) ที่เกี่ยวข้อง:
openid
| ชื่อการอ้างสิทธิ์ | ประเภท | คำอธิบาย | ต้องใช้ userinfo หรือไม่? |
|---|---|---|---|
| sub | string | ตัวระบุที่ไม่ซ้ำของผู้ใช้ | ไม่ |
profile
| ชื่อการอ้างสิทธิ์ | ประเภท | คำอธิบาย | ต้องใช้ userinfo หรือไม่? |
|---|---|---|---|
| name | string | ชื่อเต็มของผู้ใช้ | ไม่ |
| username | string | ชื่อผู้ใช้ของผู้ใช้ | ไม่ |
| picture | string | URL ของรูปโปรไฟล์ของผู้ใช้ปลายทาง URL นี้ ต้อง อ้างอิงถึงไฟล์รูปภาพ (เช่น ไฟล์ PNG, JPEG หรือ GIF) ไม่ใช่หน้าเว็บที่มีรูปภาพ โปรดทราบว่า URL นี้ ควร อ้างอิงถึงรูปโปรไฟล์ของผู้ใช้ปลายทางที่เหมาะสมสำหรับการแสดงผลเมื่ออธิบายผู้ใช้ปลายทาง ไม่ใช่รูปภาพใด ๆ ที่ผู้ใช้ถ่ายเอง | ไม่ |
| created_at | number | เวลาที่สร้างผู้ใช้ปลายทาง เวลานี้แสดงเป็นจำนวนมิลลิวินาทีตั้งแต่ Unix epoch (1970-01-01T00:00:00Z) | ไม่ |
| updated_at | number | เวลาที่ข้อมูลของผู้ใช้ปลายทางถูกอัปเดตล่าสุด เวลานี้แสดงเป็นจำนวนมิลลิวินาทีตั้งแต่ Unix epoch (1970-01-01T00:00:00Z) | ไม่ |
การอ้างสิทธิ์มาตรฐาน อื่น ๆ เช่น family_name, given_name, middle_name, nickname, preferred_username, profile, website, gender, birthdate, zoneinfo, และ locale จะถูกรวมอยู่ในขอบเขต profile ด้วยโดยไม่ต้องร้องขอ endpoint userinfo ความแตกต่างเมื่อเทียบกับการอ้างสิทธิ์ข้างต้นคือ การอ้างสิทธิ์เหล่านี้จะถูกส่งกลับมาเฉพาะเมื่อค่าของมันไม่ว่างเปล่า ในขณะที่การอ้างสิทธิ์ข้างต้นจะส่งกลับ null หากค่าเป็นค่าว่าง
ต่างจากการอ้างสิทธิ์มาตรฐาน การอ้างสิทธิ์ created_at และ updated_at ใช้หน่วยเป็นมิลลิวินาทีแทนที่จะเป็นวินาที
email
| ชื่อการอ้างสิทธิ์ | ประเภท | คำอธิบาย | ต้องใช้ userinfo หรือไม่? |
|---|---|---|---|
string | อีเมลของผู้ใช้ | ไม่ | |
| email_verified | boolean | อีเมลได้รับการยืนยันแล้วหรือไม่ | ไม่ |
phone
| ชื่อการอ้างสิทธิ์ | ประเภท | คำอธิบาย | ต้องใช้ userinfo หรือไม่? |
|---|---|---|---|
| phone_number | string | หมายเลขโทรศัพท์ของผู้ใช้ | ไม่ |
| phone_number_verified | boolean | หมายเลขโทรศัพท์ได้รับการยืนยันแล้วหรือไม่ | ไม่ |
address
โปรดดูรายละเอียดของการอ้างสิทธิ์ที่อยู่ได้ที่ OpenID Connect Core 1.0
custom_data
| ชื่อการอ้างสิทธิ์ | ประเภท | คำอธิบาย | ต้องใช้ userinfo หรือไม่? |
|---|---|---|---|
| custom_data | object | ข้อมูลกำหนดเองของผู้ใช้ | ใช่ |
identities
| ชื่อการอ้างสิทธิ์ | ประเภท | คำอธิบาย | ต้องใช้ userinfo หรือไม่? |
|---|---|---|---|
| identities | object | ข้อมูลตัวตนที่เชื่อมโยงของผู้ใช้ | ใช่ |
| sso_identities | array | ข้อมูล SSO ที่เชื่อมโยงของผู้ใช้ | ใช่ |
roles
| ชื่อการอ้างสิทธิ์ | ประเภท | คำอธิบาย | ต้องใช้ userinfo หรือไม่? |
|---|---|---|---|
| roles | string[] | บทบาทของผู้ใช้ | ไม่ |
urn:logto:scope:organizations
| ชื่อการอ้างสิทธิ์ | ประเภท | คำอธิบาย | ต้องใช้ userinfo หรือไม่? |
|---|---|---|---|
| organizations | string[] | รหัสองค์กรที่ผู้ใช้สังกัด | ไม่ |
| organization_data | object[] | ข้อมูลขององค์กรที่ผู้ใช้สังกัด | ใช่ |
urn:logto:scope:organization_roles
| ชื่อการอ้างสิทธิ์ | ประเภท | คำอธิบาย | ต้องใช้ userinfo หรือไม่? |
|---|---|---|---|
| organization_roles | string[] | บทบาทของผู้ใช้ในแต่ละองค์กรในรูปแบบ <organization_id>:<role_name> | ไม่ |
เพื่อประสิทธิภาพและขนาดข้อมูล หาก "ต้องใช้ userinfo หรือไม่?" เป็น "ใช่" หมายความว่าการอ้างสิทธิ์นั้นจะไม่ปรากฏในโทเค็น ID แต่จะถูกส่งกลับใน response ของ userinfo endpoint
ทรัพยากร API และองค์กร
เราแนะนำให้อ่าน 🔐 การควบคุมการเข้าถึงตามบทบาท (RBAC) ก่อน เพื่อทำความเข้าใจแนวคิดพื้นฐานของ RBAC ใน Logto และวิธีตั้งค่าทรัพยากร API อย่างถูกต้อง
กำหนดค่า Logto client
เมื่อคุณตั้งค่า ทรัพยากร API (API resources) เรียบร้อยแล้ว คุณสามารถเพิ่มทรัพยากรเหล่านี้ขณะกำหนดค่า Logto ในแอปของคุณได้:
$client = new LogtoClient(
new LogtoConfig(
// ...other configs
resources: ["https://shopping.your-app.com/api", "https://store.your-app.com/api"], // เพิ่มทรัพยากร API (Add API resources)
),
);
แต่ละ ทรัพยากร API (API resource) จะมี สิทธิ์ (scopes) ของตัวเอง
ตัวอย่างเช่น ทรัพยากร https://shopping.your-app.com/api มีสิทธิ์ shopping:read และ shopping:write และทรัพยากร https://store.your-app.com/api มีสิทธิ์ store:read และ store:write
หากต้องการร้องขอสิทธิ์เหล่านี้ คุณสามารถเพิ่มขณะกำหนดค่า Logto ในแอปของคุณได้:
$client = new LogtoClient(
new LogtoConfig(
// ...other configs
scopes: ["shopping:read", "shopping:write", "store:read", "store:write"], // เพิ่มขอบเขต (scopes)
resources: ["https://shopping.your-app.com/api", "https://store.your-app.com/api"], // เพิ่มทรัพยากร API (API resources)
),
);
คุณอาจสังเกตได้ว่า ขอบเขต (scopes) ถูกกำหนดแยกจาก ทรัพยากร API (API resources) นี่เป็นเพราะ Resource Indicators for OAuth 2.0 ระบุว่า ขอบเขตสุดท้ายสำหรับคำขอจะเป็นผลคูณคาร์ทีเซียนของขอบเขตทั้งหมดในบริการเป้าหมายทั้งหมด
ดังนั้น ในกรณีข้างต้น ขอบเขต (scopes) สามารถทำให้เรียบง่ายขึ้นจากการกำหนดใน Logto โดยทั้งสอง ทรัพยากร API (API resources) สามารถมีขอบเขต read และ write ได้โดยไม่ต้องมีคำนำหน้า จากนั้น ในการตั้งค่า Logto:
$client = new LogtoClient(
new LogtoConfig(
// ...other configs
scopes: ["read", "write"], // เพิ่มขอบเขต (scopes)
resources: ["https://shopping.your-app.com/api", "https://store.your-app.com/api"], // เพิ่มทรัพยากร API (API resources)
),
);
สำหรับแต่ละ ทรัพยากร API (API resource) จะร้องขอทั้งขอบเขต read และ write
คุณสามารถร้องขอขอบเขต (scopes) ที่ไม่ได้กำหนดไว้ใน ทรัพยากร API (API resources) ได้ เช่น คุณสามารถร้องขอขอบเขต email ได้ แม้ว่า ทรัพยากร API (API resources) จะไม่มีขอบเขต email ให้ ขอบเขตที่ไม่มีจะถูกละเว้นอย่างปลอดภัย
หลังจากลงชื่อเข้าใช้สำเร็จ Logto จะออกขอบเขตที่เหมาะสมให้กับ ทรัพยากร API (API resources) ตามบทบาทของผู้ใช้
ดึงโทเค็นการเข้าถึงสำหรับทรัพยากร API
เพื่อดึงโทเค็นการเข้าถึง (Access token) สำหรับทรัพยากร API เฉพาะ คุณสามารถใช้เมธอด GetAccessToken ได้ดังนี้:
$accessToken = $client->getAccessToken("https://shopping.your-app.com/api");
// รับโทเค็นการเข้าถึง (Access token)
เมธอดนี้จะส่งคืนโทเค็นการเข้าถึง (JWT access token) ที่สามารถใช้เข้าถึงทรัพยากร API ได้เมื่อผู้ใช้มีสิทธิ์ที่เกี่ยวข้อง หากโทเค็นการเข้าถึงที่แคชไว้หมดอายุแล้ว เมธอดนี้จะพยายามใช้โทเค็นรีเฟรช (Refresh token) เพื่อขอโทเค็นการเข้าถึงใหม่โดยอัตโนมัติ
ดึงโทเค็นองค์กร
หากคุณยังไม่คุ้นเคยกับ องค์กร (Organization) โปรดอ่าน 🏢 องค์กร (หลายผู้เช่า; Multi-tenancy) เพื่อเริ่มต้น
คุณต้องเพิ่ม core.UserScopeOrganizations ขอบเขต (scope) ขณะตั้งค่า Logto client:
// ไฮไลต์บรรทัดถัดไป
use Logto\Sdk\Constants\UserScope;
$client = new LogtoClient(
new LogtoConfig(
// ...การตั้งค่าอื่น ๆ
// ไฮไลต์บรรทัดถัดไป
scopes: [UserScope::organizations], // เพิ่มขอบเขต (scopes)
),
);
เมื่อผู้ใช้ลงชื่อเข้าใช้แล้ว คุณสามารถดึงโทเค็นองค์กร (organization token) สำหรับผู้ใช้ได้:
# แทนที่พารามิเตอร์ด้วยรหัสองค์กรที่ถูกต้อง
# สามารถดูรหัสองค์กรที่ถูกต้องสำหรับผู้ใช้ได้ในการอ้างสิทธิ์ (claim) ของโทเค็น ID (`organizations`)
$organizationToken = $client->getOrganizationToken(organization_id);
# หรือ
$claims = $client->getOrganizationTokenClaims(organization_id);