应用程序数据结构
介绍
在 Logto 中,应用程序 指的是在 Logto 平台上注册的特定软件程序或服务,并已获得授权以访问用户信息或代表用户执行操作。应用程序用于识别向 Logto API 发出的请求来源,以及管理用户访问这些应用程序的认证和授权过程。
在 Logto 的登录体验中使用应用程序,使用户能够从一个位置轻�松访问和管理其授权的应用程序,并提供一致且安全的认证过程。这有助于简化用户体验,并确保只有授权人员才能访问敏感信息或代表组织执行操作。
应用程序还用于 Logto 的审计日志中,以跟踪用户活动并识别任何潜在的安全威胁或漏洞。通过将特定操作与特定应用程序关联,Logto 可以提供有关数据如何被访问和使用的详细见解,使组织能够更好地管理其安全性和合规性要求。 如果你想将你的应用程序与 Logto 集成,请参阅 Integrate Logto。
属性
应用程序 ID
应用程序 ID 是一个用于在 Logto 中标识你的应用程序的唯一自动生成的键,在 OAuth 2.0 中被称为 client id。
应用程序类型
应用程序 可以是以下应用程序类型之一:
- 本机应用 是在本机环境中运行的应用程序。例如,iOS 应用,Android 应用。
- 单页应用 是在网络浏览器中运行的应用程序,它通过从服务器获取新数据来更新页面,而无需加载整个新页面。例如,React DOM 应用,Vue 应用。
- 传统 Web 应用 是由 Web 服务器单独渲染和更新页面的应用程序。例如,JSP,PHP。
- 机器对机器 (M2M) 应用 是在机器环境中运行的应用程序,用于直接的服务对服务通信,无需用户交互。
应用程序密钥
应用程序密钥 是用于在认证系统中认证应用程序的密钥,特别是对于私有客户端(传统 Web 和 M2M 应用)作为私有安全屏障。
应用程序名称
应用程序名称 是应用程序的人类可读名称,将显示在管理控制台中。
应用程序名称 是在 Logto 中管理应用程序的重要组成部分,因为它允许管理员轻松识别和跟踪平台中各个应用程序的活动。
需要注意的是,_应用程序名称_ 应该被仔细选择,因为它将对所有有权访问管理控制台的用户可见。它应该准确反映应用程序的目的和功能,同时易于理解和识别。
描述
应用程序的简要描述将显示在管理控制台的应用程序详细信息页面上。描述旨在为管理员提供有关应用程序的附加信息,例如其目的、功能和任何其他相关细节。
重定向 URI
重定向 URI 是为应用程序预先配置的一组有效重定向 URI。当用户登录 Logto 并尝试访问应用程序时,他们将被重定向到应用程序设置中指定的允许 URI 之一。
允许的 URI 列表用于验证应用程序在认证过程中发送给 Logto ��的授权请求中包含的重定向 URI。如果授权请求中指定的重定向 URI 与应用程序设置中的允许 URI 之一匹配,则用户在成功认证后将被重定向到该 URI。如果重定向 URI 不在允许列表中,用户将不会被重定向,认证过程将失败。
确保所有有效的重定向 URI 都被添加到 Logto 中应用程序的允许列表中,以确保用户在认证后能够成功访问应用程序。
你可以查看 Redirection endpoint 以获取更多信息。
注销后重定向 URI
注销后重定向 URI 是为应用程序预先配置的一组有效 URI,用于在用户从 Logto 注销后重定向用户。
使用允许的 注销后重定向 URI 进行注销是 OIDC 中 RP 发起(依赖方发起)注销规范的一部分。此规范为应用程序提供了一种标准化的方法来为用户发起注销请求,其中包括在用户注销后将其重定向到预先配置的端点。
当用户从 Logto 注销时,他们的会话将被终止,并被重定向到应用程序设置中指定的允许 URI 之一。这确保了用户在注销后仅被引导到授权和有效的端点,帮助防止未经授权的访问和与将用户重定向到未知或未经验证的端点相关的安全风险。
你可以查看 RP-initiated logout 以获取更多信息。
CORS 允许的来源
CORS(跨域资源共享)允许的来源 是应用程序可以从中向 Logto 服务发出请求的允许来源列表。任何不在允许列表中的来源将无法向 Logto 服务发出请求。
CORS 允许的来源列表用于限制未经授权的域对 Logto 服务的访问,并帮助防止跨站请求伪造(CSRF)攻击。通过在 Logto 中为应用程序指定允许的来源,服务可以确保只有授权的域能够向服务发出请求。
允许的来源列表应包含应用程序将被服务的来源。这确保了来自应用程序的请求被允许,而来自未经授权来源的请求被阻止。
OpenID 提供商配置端点
授权端点
授权端点 是一个 OIDC 术语,它是用于启动用户认证过程的必需端点。当用户尝试访问已在 Logto 平台上注册的受保护资源或应用程序时,他们将被重定向到 授权端点 以认证其身份并获得访问请求资源的授权。
你可以查看 Authorization Endpoint 以获取更多信息。
令牌端点
令牌端点 是一个 OIDC 术语,它是一个 Web API 端点,OIDC 客户端用于从 OIDC 提供商获取访问令牌、ID 令牌或刷新令牌。
当 OIDC 客户端需要获取访问令牌或 ID 令牌时,它会向令牌端点发送一个授权授予请求,通常是授权码或刷新令牌。令牌端点然后验证授权授予,如果授予有效,则向客户端颁发访问令牌或 ID 令牌。
你可以查看 Token Endpoint 以获取更多信息。
用户信息端点
OpenID Connect UserInfo Endpoint。
始终颁发刷新令牌
可用性:传统 Web,SPA
启用后,Logto 将始终颁发刷新令牌,无论在认证请求中是否出现 prompt=consent,也无论在权限中是否出现 offline_access。
然而,除非必要(通常对某些需要刷新令牌的第三方 OAuth 集成有用),否则不建议这样做,因为这与 OpenID Connect 不兼容,可能会导致问题。
刷新令牌轮换
默认:true
启用后,Logto 将在以下条件下为令牌请求颁发新的刷新令牌:
- 如果刷新令牌已被轮换(通过颁发新令牌延长其 TTL)一年;或
- 如果刷新令牌接近其过期时间(>=70% 的原始生存时间 (TTL) 已过);或
- 如果客户端是公共客户端,例如本机应用程序或单页应用程序 (SPA)。
对于公共客户端,当启用此功能时,客户端使用刷新令牌交换新访问令牌时将始终颁发新刷新令牌。 尽管你仍然可以为这些公共客户端关闭此功能,但强烈建议出于安全原因保持启用状态。
刷新令牌生存时间 (TTL)(以天为单位)
可用性:非 SPA;默认:14 天
刷新令牌在过期并失效之前可用于请求新访问令牌的持续时间。令牌请求将刷新令牌的 TTL 扩展到此值。
通常,较低的值是首选。
注意:出于安全原因,SPA(单页应用)中不可用 TTL 刷新。这意味着 Logto 不会通过令牌请求来扩展 TTL。为了增强用户体验,你可以启用“刷新令牌轮换”功能,允许 Logto 在必要时颁发新的刷新令牌。
后端注销 URI
OpenID Connect 后端注销端点。有关更多信息,请参阅 Federated sign-out: Back-channel logout。
自定义数据
未列在预��定义应用程序属性中的其他自定义应用程序信息,用户可以根据其特定需求定义自己的自定义数据字段,例如业务特定的设置和配置。