Logto 是一个为现代应用和 SaaS 产品设计的 Auth0 替代方案。它提供 Cloud 和 开源 服务,帮助你快速启动身份和管理 (IAM) 系统。享受认证 (Authentication)、授权 (Authorization) 和多租户管理 一体化。
我们建议从 Logto Cloud 上的免费开发租户开始。这可以让你轻松探索所有功能。
在本文中,我们将介绍使用 Go 和 Logto 快速构建 Azure AD 登录体验(用户认证 (Authentication))的步骤。
先决条件
在 Logto 中创建一个应用程序
Logto 基于 OpenID Connect (OIDC) 认证 (Authentication) 和 OAuth 2.0 授权 (Authorization)。它支持跨多个应用程序的联合身份管理,通常称为单点登录 (SSO)。
要创建你的 传统 Web 应用程序,只需按照以下步骤操作:
- 打开 Logto Console。在“开始使用”部分,点击“查看全部”链接以打开应用程序框架列表。或者,你可以导航到 Logto Console > Applications,然后点击“创建应用程序”按钮。
- 在打开的模态窗口中,点击“传统 Web”部分,或使用左侧的快速过滤复选框过滤所有可用的“传统 Web”框架。点击 "Go" 框架卡片以开始创建你的应用程序。
- 输入应用程序名称,例如“Bookstore”,然后点击“创建应用程序”。
🎉 太棒了!你刚刚在 Logto 中创建了你的第一个应用程序。你将看到一个祝贺页面,其中包含详细的集成指南。按照指南查看你的应用程序中的体验将会是什么样的。
集成 Go SDK
- 以下演示基于 Gin Web Framework 构建。你也可以通过相同的步骤将 Logto 集成到其他框架中。
- Go 示例项目可在我们的 Go SDK 仓库 中找到。
安装
在项目根目录执行:
go get github.com/logto-io/go
将 github.com/logto-io/go/client 包添加到你的应用代码中:
// main.go
package main
import (
"github.com/gin-gonic/gin"
// 添加依赖
"github.com/logto-io/go/client"
)
func main() {
router := gin.Default()
router.GET("/", func(c *gin.Context) {
c.String(200, "Hello Logto!")
})
router.Run(":3000")
}
创建会话存储
在传统的 Web 应用程序中,用户认证信息会存储在用户会话中。
Logto SDK 提供了一个 Storage 接口,你可以根据你的 Web 框架实现一个 Storage 适配器,以便 Logto SDK 可以将用户认证信息存储在会话中。
我们不推荐使用基于 Cookie 的会话,因为 Logto 存储的用户认证信息可能会超过 Cookie 的大小限制。在这个例子中,我们使用基于内存的会话。你可以在生产环境中使用 Redis、MongoDB 和其他技术根据需要存储会话。
Logto SDK 中的 Storage 类型如下:
package client
type Storage interface {
GetItem(key string) string
SetItem(key, value string)
}
我们使用 github.com/gin-contrib/sessions 中间件作为示例来演示这个过程。
将中间件应用到应用程序中,以便我们可以在路由处理程序中通过用户请求上下文获取用户会话:
package main
import (
"github.com/gin-contrib/sessions"
"github.com/gin-contrib/sessions/memstore"
"github.com/gin-gonic/gin"
"github.com/logto-io/go/client"
)
func main() {
router := gin.Default()
// 在这个例子中我们使用基于内存的会话
store := memstore.NewStore([]byte("your session secret"))
router.Use(sessions.Sessions("logto-session", store))
router.GET("/", func(ctx *gin.Context) {
// 获取用户会话
session := sessions.Default(ctx)
// ...
ctx.String(200, "Hello Logto!")
})
router.Run(":3000")
}
创建一个 session_storage.go 文件,定义一个 SessionStorage 并实现 Logto SDK 的 Storage 接口:
package main
import (
"github.com/gin-contrib/sessions"
)
type SessionStorage struct {
session sessions.Session
}
func (storage *SessionStorage) GetItem(key string) string {
value := storage.session.Get(key)
if value == nil {
return ""
}
return value.(string)
}
func (storage *SessionStorage) SetItem(key, value string) {
storage.session.Set(key, value)
storage.session.Save()
}
现在,在路由处理程序中,你可以为 Logto 创建一个会话存储:
session := sessions.Default(ctx)
sessionStorage := &SessionStorage{session: session}
初始化 LogtoClient
首先,创建一个 Logto 配置:
func main() {
// ...
logtoConfig := &client.LogtoConfig{
Endpoint: "<your-logto-endpoint>", // 例如 http://localhost:3001
AppId: "<your-application-id>",
AppSecret: "<your-application-secret>",
}
// ...
}
你可以在管理控制台的应用详情页面找到并复制“应用密钥”:
然后,你可以为每个用户请求使用上述 Logto 配置创建一个 LogtoClient:
func main() {
// ...
router.GET("/", func(ctx *gin.Context) {
// 创建 LogtoClient
session := sessions.Default(ctx)
logtoClient := client.NewLogtoClient(
logtoConfig,
&SessionStorage{session: session},
)
// 使用 Logto 控制主页内容
authState := "你尚未登录此网站。:("
if logtoClient.IsAuthenticated() {
authState = "你已登录此网站!:)"
}
homePage := `<h1>Hello Logto</h1>` +
"<div>" + authState + "</div>"
ctx.Data(http.StatusOK, "text/html; charset=utf-8", []byte(homePage))
})
// ...
}
实现登录路由
在配置好重定向 URI 后,我们添加一个 sign-in 路由来处理登录请求,并在主页上添加一个登录链接:
func main() {
// ...
// 在主页上添加一个链接以执行登录请求
router.GET("/", func(ctx *gin.Context) {
// ...
homePage := `<h1>Hello Logto</h1>` +
"<div>" + authState + "</div>" +
// 添加链接
`<div><a href="/sign-in">Sign In</a></div>`
ctx.Data(http.StatusOK, "text/html; charset=utf-8", []byte(homePage))
})
// 添加一个路由来处理登录请求
router.GET("/sign-in", func(ctx *gin.Context) {
session := sessions.Default(ctx)
logtoClient := client.NewLogtoClient(
logtoConfig,
&SessionStorage{session: session},
)
// 登录请求由 Logto 处理。
// 用户登录后将被重定向到重定向 URI。
signInUri, err := logtoClient.SignIn("http://localhost:3000/callback")
if err != nil {
ctx.String(http.StatusInternalServerError, err.Error())
return
}
// 将用户重定向到 Logto 登录页面。
ctx.Redirect(http.StatusTemporaryRedirect, signInUri)
})
// ...
}
现在,当用户访问 http://localhost:3000/sign-in 时,用户将被重定向到 Logto 登录页面。
实现回调路由
当用户在 Logto 登录页面成功登录后,Logto 将把用户重定向到重定向 URI。
由于重定向 URI 是 http://localhost:3000/callback,我们添加 /callback 路由来处理登录后的回调。
func main() {
// ...
// 添加一个路由来处理登录回调请求
router.GET("/callback", func(ctx *gin.Context) {
session := sessions.Default(ctx)
logtoClient := client.NewLogtoClient(
logtoConfig,
&SessionStorage{session: session},
)
// 登录回调请求由 Logto 处理
err := logtoClient.HandleSignInCallback(ctx.Request)
if err != nil {
ctx.String(http.StatusInternalServerError, err.Error())
return
}
// 跳转到开发者指定的页面。
// 本例将用户带回主页。
ctx.Redirect(http.StatusTemporaryRedirect, "/")
})
// ...
}
实现登出路由
与登录流程类似,当用户登出时,Logto 将会重定向用户到登出后的重定向 URI。
现在,让我们添加 sign-out 路由来处理登出请求,并在主页上添加一个登出链接:
func main() {
// ...
// 在主页上添加一个链接以执行登出请求
router.GET("/", func(ctx *gin.Context) {
// ...
homePage := `<h1>Hello Logto</h1>` +
"<div>" + authState + "</div>" +
`<div><a href="/sign-in">Sign In</a></div>` +
// 添加链接
`<div><a href="/sign-out">Sign Out</a></div>`
ctx.Data(http.StatusOK, "text/html; charset=utf-8", []byte(homePage))
})
// 添加一个路由来处理登出请求
router.GET("/sign-out", func(ctx *gin.Context) {
session := sessions.Default(ctx)
logtoClient := client.NewLogtoClient(
logtoConfig,
&SessionStorage{session: session},
)
// 登出请求由 Logto 处理。
// 用户登出后将被重定向到登出后的重定向 URI。
signOutUri, signOutErr := logtoClient.SignOut("http://localhost:3000")
if signOutErr != nil {
ctx.String(http.StatusOK, signOutErr.Error())
return
}
ctx.Redirect(http.StatusTemporaryRedirect, signOutUri)
})
// ...
}
用户发起登出请求后,Logto 将清除会话中的所有用户认证信息。
检查点:测试你的应用程序
现在,你可以测试你的应用程序:
- 运行你的应用程序,你将看到登录按钮。
- 点击登录按钮,SDK 将初始化登录过程并将你重定向到 Logto 登录页面。
- 登录后,你将被重定向回你的应用程序,并看到登出按钮。
- 点击登出按钮以清除令牌存储并登出。
添加 Azure AD 连接器
要实现快速登录并提高用户转化率,请将 Go 作为身份提供商 (IdP) 进行连接。Logto 社交连接器可以帮助你在几分钟内通过允许输入多个参数来建立此连接。
要添加社交连接器,只需按照以下步骤操作:
- 导航到 Console > Connectors > Social Connectors。
- 点击“添加社交连接器”并选择“Azure AD”。
- 按照 README 指南完成必填字段并自定义设置。
如果你正在按照现场连接器指南进行操作,可以跳过下一部分。
设置 Azure AD
在 Azure 门户中设置 Microsoft Azure AD
- 访问 Azure 门户 并使用你的 Azure 账户登录。你需要有一个有效的订阅才能访问 Microsoft Azure AD。
- 点击他们提供的服务中的 Azure Active Directory,然后从左侧菜单中点击 App Registrations。
- 点击顶部的 New Registration,输入描述,选择你的 访问类型 并添加你的 Redirect URI,登录后将用户重定向到应用程序。在我们的例子中,这将是
${your_logto_endpoint}/callback/${connector_id}。例如https://foo.logto.app/callback/${connector_id}。connector_id也可以在 Logto 管理控制台连接器详情页面的顶部栏找到。你可以在配置部分复制Callback URI。 - 选择 Web 作为平台。
在 Logto 中填写配置
| 名称 | 类型 |
|---|---|
| clientId | string |
| clientSecret | string |
| tenantId | string |
| cloudInstance | string |
客户端 ID
你可以在 Azure 门户中新创建的应用程序的 Overview 部分找到 Application (client) ID。
客户端密钥
- 在你新创建的应用程序中,点击 Certificates & Secrets 以获取客户端密钥,并从顶部点击 New client secret。
- 输入描述和过期时间。
- 这将只显示你的客户端密钥一次。将 value 填写到 Logto 连接器配置中,并将其保存到安全位置。
云实例
通常是 https://login.microsoftonline.com/。有关更多信息,请参阅 Azure AD 认证端点。
租户 ID
Logto 将使用此字段构建授权端点。此值取决于你在 Azure 门户中创建应用程序时选择的 访问类型。
- 如果你选择 仅此组织目录中的账户 作为访问类型,则需要输入你的 {TenantID}。你可以在 Azure Active Directory 的 Overview 部分找到租户 ID。
- 如果你选择 任何组织目录中的账户 作为访问类型,则需要输入 organizations。
- 如果你选择 任何组织目录或个人 Microsoft 账户中的账户 作为访问类型,则需要输入 common。
- 如果你选择 仅个人 Microsoft 账户 作为访问类型,则需要输入 consumers。
保存你的配置
仔细检查你是否在 Logto 连接器配置区域填写了必要的值。点击“保存并完成”(或“保存更改”),Azure AD 连接器现在应该可用了。
在登录体验中启用 Azure AD 连接器
一旦你成功创建了一个社交连接器,你可以在登录体验中将其启用为“继续使用 Azure AD”按钮。
- 导航到 Console > 登录体验 > 注册和登录。
- (可选)如果只需要社交登录,选择“无”作为注册标识符。
- 将配置好的 Azure AD 连接器添加到“社交登录”部分。
测试和验证
返回到你的 Go 应用。你现在应该可以使用 Azure AD 登录了。享受吧!
拓展阅读
终端用户流程:Logto 提供开箱即用的认证 (Authentication) 流程,包括多因素认证 (MFA) 和企业单点登录 (SSO),以及强大的 API,用于灵活实现账户设置、安全验证和多租户体验。
授权 (Authorization):授权 (Authorization) 定义了用户在被认证 (Authentication) 后可以执行的操作或访问的资源。探索如何保护你的 API 以用于原生和单页应用程序,并实现基于角色的访问控制 (RBAC)。
组织 (Organizations):在多租户 SaaS 和 B2B 应用中特别有效,组织功能支持租户创建、成员管理、组织级 RBAC 和即时供应。
客户 IAM 系列:我们关于客户(或消费者)身份和访问管理的系列博客文章,从 101 到高级主题及更深入的内容。