跳到主要内容

使用 OIDC / OAuth 集成第三方应用

使用 Logto 作为你的身份提供商 (IdP),通过 OpenID Connect (OIDC) 或 OAuth 2.0 协议集成第三方应用。

在 Logto 中创建第三方 OIDC 应用

就像你在 Logto 中创建第一方应用一样,你也可以为支持 OIDC 的第三方服务创建应用。该应用将作为你的第三方应用的 IdP。

  1. 前往 控制台 > 应用程序

  2. 选择“第三方应用 > OIDC”作为应用类型。

    • 如果这是你第一次创建应用,请点击 查看全部 链接以查看所有应用类型。

    • 否则,请点击页面右上角的 创建应用 按钮,并选择“第三方应用 -> OIDC”作为应用类型。

  3. 与创建 Logto 第一方应用类似,输入你的应用的名称描述,然后点击 创建 按钮。一个新的第三方 OIDC 应用就会被创建。

设置 OIDC 配置

为了将 Logto 作为你的第三方应用的 IdP,你需要在应用详情页下配置 OIDC 设置。

  1. 提供你的第三方应用的 redirect URI。这是第三方应用在用户通过 Logto 认证 (Authentication) 后重定向用户的 URL。你通常可以在第三方应用的 IdP 连接设置页面找到此信息。Logto 支持多个 redirect URI。你可以通过点击 添加另一个 按钮添加更多 redirect URI。

  2. 从 Logto 应用详情页获取 client IDclient secret,并将它们填写到你的服务提供商的 IdP 连接设置页面。

  3. 从 Logto 应用详情页获取 authorization endpointtoken endpoint,并提供给你的服务提供商。

    • 如果你的服务提供商支持 OIDC 发现,你只需从 Logto 应用详情页复制 discovery endpoint 并提供给你的服务提供商。服务提供商将能够自动从 discovery endpoint 获取所有最新的 OIDC 认证 (Authentication) 信息。
    • 否则,点击 显示端点详情 按钮以查看所有 OIDC 认证 (Authentication) 端点。

在底层,第三方应用其实就是一个标准的 OAuth 2.0 / OIDC 客户端。这意味着你(或第三方开发者)可以使用任何 OAuth 2.0 / OIDC 库或框架来集成 Logto。

如果你还不熟悉 OAuth 2.0 或 OIDC,可以先参考我们的“传统 Web”快速入门指南。

需要注意的几点:

  1. Logto 目前要求第三方应用为“传统 Web”应用。换句话说,应用需要有后端服务器(或前端专用后端)来安全地存储客户端密钥。
  2. 我们的大多数快速入门指南是为第一方应用编写的,但你仍然可以将它们作为第三方应用集成的参考。
  3. 主要的区别在于,第三方应用会显示用户授权页面 (Consent screen),请求用户明确授权访问他们的数据。

你可以在我们的快速入门指南中找到更多信息。

管理你的第三方应用

所有第三方应用都会被归类在 应用程序 页面,具体位于 第三方应用 标签下。这样的安排将它们与你的第一方应用区分开来,确保便于管理。

延伸阅读

第三方应用