使用 OIDC / OAuth 集成第三方应用
使用 Logto 作为你的身份提供商 (IdP),通过 OpenID Connect (OIDC) 或 OAuth 2.0 协议集成第三方应用。
在 Logto 中创建第三方 OIDC 应用
就像你在 Logto 中创建第一方应用一样,你也可以为支持 OIDC 的第三方服务创建应用。该应用将作为你的第三方应用的 IdP。
-
前往 控制台 > 应用程序。
-
选择“第三方应用 > OIDC”作为应用类型。
-
如果这是你第一次创建应用,请点击 查看全部 链接以查看所有应用类型。
-
否则,请点击页面右上角的 创建应用 按钮,并选择“第三方应用 -> OIDC”作为应用类型。
-
-
与创建 Logto 第一方应用类似,输入你的应用的名称和描述,然后点击 创建 按钮。一个新的第三方 OIDC 应用就会被创建。
设置 OIDC 配置
为了将 Logto 作为你的第三方应用的 IdP,你需要在应用详情页下配置 OIDC 设置。
-
提供你的第三方应用的 redirect URI。这是第三方应用在用户通过 Logto 认证 (Authentication) 后重定向用户的 URL。你通常可以在第三方应用的 IdP 连接设置页面找到此信息。Logto 支持多个 redirect URI。你可以通过点击 添加另一个 按钮添加更多 redirect URI。
-
从 Logto 应用详情页获取 client ID 和 client secret,并将它们填写到你的服务提供商的 IdP 连接设置页面。
-
从 Logto 应用详情页获取 authorization endpoint 和 token endpoint,并提供给你的服务提供商。
- 如果你的服务提供商支持 OIDC 发现,你只需从 Logto 应用详情页复制 discovery endpoint 并提供给你的服务提供商。服务提供商将能够自动从 discovery endpoint 获取所有最新的 OIDC 认证 (Authentication) 信息。
- 否则,点击 显示端点详情 按钮以查看所有 OIDC 认证 (Authentication) 端点。
在底层,第三方应用其实就是一个标准的 OAuth 2.0 / OIDC 客户端。这意味着你(或第三方开发者)可以使用任何 OAuth 2.0 / OIDC 库或框架来集成 Logto。
如果你还不熟悉 OAuth 2.0 或 OIDC,可以先参考我们的“传统 Web”快速入门指南。
需要注意的几点:
- Logto 目前要求第三方应用为“传统 Web”应用。换句话说,应用需要有后端服务器(或前端专用后端)来安全地存储客户端密钥。
- 我们的大多数快速入门指南是为第一方应用编写的,但你仍然可以将它们作为第三方应用集成的参考。
- 主要的区别在于,第三方应用会显示用户授权页面 (Consent screen),请求用户明确授权访问他们的数据。
你可以在我们的快速入门指南中找到更多信息。
管理你的第三方应用
所有第三方应用都会被归类在 应用程序 页面,具体位于 第三方应用 标签下。这样的安排将它们与你的第一方应用区分开来,确保便于管理。