跳到主要内容

理解 OIDC 认证 (Authentication) 流程

Logto 基于 OAuth 2.0OpenID Connect (OIDC) 标准构建。理解这些认证 (Authentication) 标准将使集成过程更加顺畅和简单。

用户认证 (Authentication) 流程

以下是用户使用 Logto 登录时发生的情况:

在这个流程中,几个关键概念对于集成过程至关重要:

  • Application:这代表你在 Logto 中的应用程序。你将在 Logto 控制台中创建一个应用程序配置,以建立你的实际应用程序与 Logto 服务之间的连接。了解更多关于 Application
  • Redirect URI:用户在 Logto 登录页面完成认证 (Authentication) 后,Logto 通过此 URI 将他们重定向回你的应用程序。你需要在应用程序设置中配置重定向 URI。更多详情请参见 Redirect URIs
  • 处理登录回调:当 Logto 将用户重定向回你的应用程序时,你的应用程序需要处理认证 (Authentication) 数据并请求访问令牌和用户信息。别担心 - Logto SDK 会自动处理这些。

这个概述涵盖了快速集成的基本要素。要深入了解,请查看我们的 登录体验解释 指南。

机器对机器认证 (Authentication) 流程

Logto 提供 机器对机器 (M2M) 应用程序 类型,以启用服务之间的直接认证 (Authentication),基于 OAuth 2.0 客户端凭据流程

这种机器对机器 (M2M) 认证 (Authentication) 流程是为需要直接与资源通信而无需用户交互(因此没有 UI)的应用程序设计的,例如在 Logto 中更新用户数据的 API 服务或提取每日订单的统计服务。

在这个流程中,服务使用客户端凭据进行认证 (Authentication) - 由 Application IDApplication Secret 组成的组合,唯一标识和认证 (Authentication) 服务。这些凭据在从 Logto 请求 访问令牌 时作为服务的身份。

SAML 认证 (Authentication) 流程

除了 OAuth 2.0 和 OIDC,Logto 还支持 SAML(安全断言标记语言)认证 (Authentication),作为身份提供商 (IdP) 以实现与企业应用的集成。目前,Logto 支持 SP 发起的认证 (Authentication) 流程:

SP 发起的流程

在 SP 发起的流程中,认证 (Authentication) 过程从服务提供商(你的应用)开始:

在这个流程中:

  • 用户从你的应用(服务提供商)开始认证 (Authentication) 过程
  • 你的应用生成一个 SAML 请求并将用户重定向到 Logto(身份提供商)
  • 在 Logto 成功认证 (Authentication) 后,SAML 响应被发送回你的应用
  • 你的应用处理 SAML 响应并完成认证 (Authentication)

IdP 发起的流程

Logto 将在未来的版本中支持 IdP 发起的流程,使用户可以直接从 Logto 的门户开始认证 (Authentication) 过程。请关注此功能的更新。

这种 SAML 集成使企业应用能够利用 Logto 作为其身份提供商,支持现代和传统的基于 SAML 的服务提供商。

博客:使用 OAuth 2.0 和 OpenID Connect 保护云应用

 为什么多个应用的单点登录 (SSO) 更好

为什么你需要一个集中身份系统来管理多应用业务