跳到主要内容
给我们的新朋友:

Logto 是一个为现代应用和 SaaS 产品设计的 Auth0 替代方案。它提供 Cloud开源 服务,帮助你快速启动身份和管理 (IAM) 系统。享受认证 (Authentication)、授权 (Authorization) 和多租户管理 一体化

我们建议从 Logto Cloud 上的免费开发租户开始。这可以让你轻松探索所有功能。

在本文中,我们将介绍使用 GoLogto 快速构建 Google 登录体验(用户认证 (Authentication))的步骤。

先决条件

  • 一个正在运行的 Logto 实例。查看 介绍页面 以开始。
  • Go 的基本知识。
  • 一个可用的 Google 账户。

在 Logto 中创建一个应用程序

Logto 基于 OpenID Connect (OIDC) 认证 (Authentication) 和 OAuth 2.0 授权 (Authorization)。它支持跨多个应用程序的联合身份管理,通常称为单点登录 (SSO)。

要创建你的 传统 Web 应用程序,只需按照以下步骤操作:

  1. 打开 Logto Console。在“开始使用”部分,点击“查看全部”链接以打开应用程序框架列表。或者,你可以导航到 Logto Console > Applications,然后点击“创建应用程序”按钮。 开始使用
  2. 在打开的模态窗口中,点击“传统 Web”部分,或使用左侧的快速过滤复选框过滤所有可用的“传统 Web”框架。点击 "Go" 框架卡片以开始创建你的应用程序。 框架
  3. 输入应用程序名称,例如“Bookstore”,然后点击“创建应用程序”。

🎉 太棒了!你刚刚在 Logto 中创建了你的第一个应用程序。你将看到一个祝贺页面,其中包含详细的集成指南。按照指南查看你的应用程序中的体验将会是什么样的。

集成 Go SDK

提示:
  • 以下演示基于 Gin Web Framework 构建。你也可以通过相同的步骤将 Logto 集成到其他框架中。
  • Go 示例项目可在我们的 Go SDK 仓库 中找到。

安装

在项目根目录执行:

go get github.com/logto-io/go

github.com/logto-io/go/client 包添加到你的应用代码中:

main.go
// main.go
package main

import (
	"github.com/gin-gonic/gin"
	// 添加依赖
	"github.com/logto-io/go/client"
)

func main() {
	router := gin.Default()
	router.GET("/", func(c *gin.Context) {
		c.String(200, "Hello Logto!")
	})
	router.Run(":3000")
}

创建会话存储

在传统的 Web 应用程序中,用户认证信息会存储在用户会话中。

Logto SDK 提供了一个 Storage 接口,你可以根据你的 Web 框架实现一个 Storage 适配器,以便 Logto SDK 可以将用户认证信息存储在会话中。

备注:

我们不推荐使用基于 Cookie 的会话,因为 Logto 存储的用户认证信息可能会超过 Cookie 的大小限制。在这个例子中,我们使用基于内存的会话。你可以在生产环境中使用 Redis、MongoDB 和其他技术根据需要存储会话。

Logto SDK 中的 Storage 类型如下:

github.com/logto-io/client/storage.go
package client

type Storage interface {
	GetItem(key string) string
	SetItem(key, value string)
}

我们使用 github.com/gin-contrib/sessions 中间件作为示例来演示这个过程。

将中间件应用到应用程序中,以便我们可以在路由处理程序中通过用户请求上下文获取用户会话:

main.go
package main

import (
	"github.com/gin-contrib/sessions"
	"github.com/gin-contrib/sessions/memstore"
	"github.com/gin-gonic/gin"
	"github.com/logto-io/go/client"
)

func main() {
	router := gin.Default()

	// 在这个例子中我们使用基于内存的会话
	store := memstore.NewStore([]byte("your session secret"))
	router.Use(sessions.Sessions("logto-session", store))

	router.GET("/", func(ctx *gin.Context) {
		// 获取用户会话
		session := sessions.Default(ctx)
		// ...
		ctx.String(200, "Hello Logto!")
	})
	router.Run(":3000")
}

创建一个 session_storage.go 文件,定义一个 SessionStorage 并实现 Logto SDK 的 Storage 接口:

session_storage.go
package main

import (
	"github.com/gin-contrib/sessions"
)

type SessionStorage struct {
	session sessions.Session
}

func (storage *SessionStorage) GetItem(key string) string {
	value := storage.session.Get(key)
	if value == nil {
		return ""
	}
	return value.(string)
}

func (storage *SessionStorage) SetItem(key, value string) {
	storage.session.Set(key, value)
	storage.session.Save()
}

现在,在路由处理程序中,你可以为 Logto 创建一个会话存储:

session := sessions.Default(ctx)
sessionStorage := &SessionStorage{session: session}

初始化 LogtoClient

首先,创建一个 Logto 配置:

main.go
func main() {
	// ...
	logtoConfig := &client.LogtoConfig{
		Endpoint:  "<your-logto-endpoint>", // 例如 http://localhost:3001
		AppId:     "<your-application-id>",
		AppSecret: "<your-application-secret>",
	}
	// ...
}
提示:

你可以在管理控制台的应用详情页面找到并复制“应用密钥”:

App Secret

然后,你可以为每个用户请求使用上述 Logto 配置创建一个 LogtoClient

main.go
func main() {
	// ...

	router.GET("/", func(ctx *gin.Context) {
		// 创建 LogtoClient
		session := sessions.Default(ctx)
		logtoClient := client.NewLogtoClient(
			logtoConfig,
			&SessionStorage{session: session},
		)

		// 使用 Logto 控制主页内容
		authState := "你尚未登录此网站。:("

		if logtoClient.IsAuthenticated() {
			authState = "你已登录此网站!:)"
		}

		homePage := `<h1>Hello Logto</h1>` +
			"<div>" + authState + "</div>"

		ctx.Data(http.StatusOK, "text/html; charset=utf-8", []byte(homePage))
	})

	// ...
}

实现登录路由

在配置好重定向 URI 后,我们添加一个 sign-in 路由来处理登录请求,并在主页上添加一个登录链接:

main.go
func main() {
	// ...

	// 在主页上添加一个链接以执行登录请求
	router.GET("/", func(ctx *gin.Context) {
		// ...
		homePage := `<h1>Hello Logto</h1>` +
			"<div>" + authState + "</div>" +
			// 添加链接
			`<div><a href="/sign-in">Sign In</a></div>`

		ctx.Data(http.StatusOK, "text/html; charset=utf-8", []byte(homePage))
	})

	// 添加一个路由来处理登录请求
	router.GET("/sign-in", func(ctx *gin.Context) {
		session := sessions.Default(ctx)
		logtoClient := client.NewLogtoClient(
			logtoConfig,
			&SessionStorage{session: session},
		)

		// 登录请求由 Logto 处理。
		// 用户登录后将被重定向到重定向 URI。
		signInUri, err := logtoClient.SignIn("http://localhost:3000/callback")
		if err != nil {
			ctx.String(http.StatusInternalServerError, err.Error())
			return
		}

		// 将用户重定向到 Logto 登录页面。
		ctx.Redirect(http.StatusTemporaryRedirect, signInUri)
	})

	// ...
}

现在,当用户访问 http://localhost:3000/sign-in 时,用户将被重定向到 Logto 登录页面。

实现回调路由

当用户在 Logto 登录页面成功登录后,Logto 将把用户重定向到重定向 URI。

由于重定向 URI 是 http://localhost:3000/callback,我们添加 /callback 路由来处理登录后的回调。

main.go
func main() {
	// ...

	// 添加一个路由来处理登录回调请求
	router.GET("/callback", func(ctx *gin.Context) {
		session := sessions.Default(ctx)
		logtoClient := client.NewLogtoClient(
			logtoConfig,
			&SessionStorage{session: session},
		)

		// 登录回调请求由 Logto 处理
		err := logtoClient.HandleSignInCallback(ctx.Request)
		if err != nil {
			ctx.String(http.StatusInternalServerError, err.Error())
			return
		}

		// 跳转到开发者指定的页面。
		// 本例将用户带回主页。
		ctx.Redirect(http.StatusTemporaryRedirect, "/")
	})

	// ...
}

实现登出路由

与登录流程类似,当用户登出时,Logto 将会重定向用户到登出后的重定向 URI。

现在,让我们添加 sign-out 路由来处理登出请求,并在主页上添加一个登出链接:

main.go
func main() {
	// ...

	// 在主页上添加一个链接以执行登出请求
	router.GET("/", func(ctx *gin.Context) {
		// ...
		homePage := `<h1>Hello Logto</h1>` +
			"<div>" + authState + "</div>" +
			`<div><a href="/sign-in">Sign In</a></div>` +
			// 添加链接
			`<div><a href="/sign-out">Sign Out</a></div>`

		ctx.Data(http.StatusOK, "text/html; charset=utf-8", []byte(homePage))
	})

	// 添加一个路由来处理登出请求
	router.GET("/sign-out", func(ctx *gin.Context) {
		session := sessions.Default(ctx)
		logtoClient := client.NewLogtoClient(
			logtoConfig,
			&SessionStorage{session: session},
		)

		// 登出请求由 Logto 处理。
		// 用户登出后将被重定向到登出后的重定向 URI。
		signOutUri, signOutErr := logtoClient.SignOut("http://localhost:3000")

		if signOutErr != nil {
			ctx.String(http.StatusOK, signOutErr.Error())
			return
		}

		ctx.Redirect(http.StatusTemporaryRedirect, signOutUri)
	})

	// ...
}

用户发起登出请求后,Logto 将清除会话中的所有用户认证信息。

检查点:测试你的应用程序

现在,你可以测试你的应用程序:

  1. 运行你的应用程序,你将看到登录按钮。
  2. 点击登录按钮,SDK 将初始化登录过程并将你重定向到 Logto 登录页面。
  3. 登录后,你将被重定向回你的应用程序,并看到登出按钮。
  4. 点击登出按钮以清除令牌存储并登出。

添加 Google 连接器

要实现快速登录并提高用户转化率,请将 Go 作为身份提供商 (IdP) 进行连接。Logto 社交连接器可以帮助你在几分钟内通过允许输入多个参数来建立此连接。

要添加社交连接器,只需按照以下步骤操作:

  1. 导航到 Console > Connectors > Social Connectors
  2. 点击“添加社交连接器”并选择“Google”。
  3. 按照 README 指南完成必填字段并自定义设置。

Connector tab

备注:

如果你正在按照现场连接器指南进行操作,可以跳过下一部分。

设置 Google OAuth 应用

在 Google API Console 中设置项目

  • 访问 Google API Console 并使用你的 Google 账户登录。
  • 点击顶部菜单栏的 选择项目 按钮,然后点击 新建项目 按钮创建一个项目。
  • 在你新创建的项目中,点击 API 和服务 进入 API 和服务 菜单。

配置并注册你的应用程序

  • 在左侧 API 和服务 菜单中,点击 OAuth 用户授权页面 按钮。
  • 选择你想要的 用户类型,然后点击 创建 按钮。(注意:如果你选择 外部 作为你的 用户类型,你将需要稍后添加测试用户。)

现在你将进入 编辑应用注册 页面。

编辑应用注册

  • 按照说明填写 OAuth 用户授权页面 表单。
  • 点击 保存并继续 以继续。

配置权限

  • 点击 添加或移除权限 并在弹出抽屉中选择 ../auth/userinfo.email../auth/userinfo.profileopenid,然后点击 更新 完成。建议你考虑添加所有可能使用的权限,否则某些你在配置中添加的权限可能无法正常工作。
  • 根据需要填写表单。
  • 点击 保存并继续 以继续。

添加测试用户(仅限外部用户类型)

  • 点击 添加用户 并添加测试用户,以允许这些用户在测试时访问你的应用程序。
  • 点击 保存并继续 以继续。

现在你应该已经配置好了 Google OAuth 2.0 用户授权页面。

获取 OAuth 2.0 凭据

  • 在左侧 API 和服务 菜单中,点击 凭据 按钮。
  • 凭据 页面,点击顶部菜单栏的 + 创建凭据 按钮,并选择 OAuth 客户端 ID
  • 创建 OAuth 客户端 ID 页面,选择 Web 应用程序 作为应用程序类型。
  • 填写你的应用程序的基本信息。
  • 点击 + 添加 URI 以在 授权的 JavaScript 来源 部分添加一个授权域名。这是你的 Logto 授权页面将从中提供服务的域名。在我们的例子中,这将是 ${your_logto_origin}。例如 https://logto.dev
  • 点击 + 添加 URI 在 **授权重定向 URI** 部分设置 **授权重定向 URI**,它将在用户登录后将其重定向到应用程序。在我们的例子中,这将是 ${your_logto_endpoint}/callback/${connector_id}。例如 https://logto.dev/callback/${connector_id}connector_id 可以在 Logto 管理控制台连接器详情页面的顶部栏找到。
  • 点击 创建 完成,然后你将获得 客户端 ID客户端密钥

配置你的连接器

使用你在前一节中从 OAuth 应用详情页面获得的 客户端 ID客户端密钥 填写 clientIdclientSecret 字段。

scope 是一个以空格分隔的 权限 列表。如果未提供,权限默认为 openid profile email

prompts 是一个字符串数组,指定所需的用户交互类型。字符串可以是以下值之一:

  • none:授权服务器不显示任何认证或用户授权页面;如果用户尚未认证并且未预先配置请求权限的授权,它将返回错误。你可以使用 none 来检查现有的认证和/或授权。
  • consent:授权服务器在向客户端返回信息之前提示用户进行授权。
  • select_account:授权服务器提示用户选择一个用户账户。这允许拥有多个账户的用户在授权服务器上选择他们可能有当前会话的多个账户之一。

配置类型

名称类型
clientIdstring
clientSecretstring
scopestring
promptsstring[]

启用 Google One Tap

Google One Tap 是一种安全且简单的方法,让用户使用他们的 Google 账户登录到你的网站或应用程序。

一旦你设置好了 Google 连接器,你将在连接器详情页面看到一个 Google One Tap 卡片。你可以通过切换开关在注册和登录页面启用 Google One Tap。

启用 Google One Tap 后,你可以配置以下选项:

  • 如果可能,自动选择凭据:如果满足 某些条件,自动使用 Google 账户登录用户。
  • 如果用户点击/点击外部,取消提示:如果用户点击或点击提示外部,关闭 Google One Tap 提示。如果禁用,用户必须点击关闭按钮以关闭提示。
  • 在 ITP 浏览器上启用升级的 One Tap UX:在智能跟踪预防 (ITP) 浏览器上启用升级的 Google One Tap 用户体验。请参考 此页面 了解更多信息。
备注:

要在你的网站上启用 Google One Tap(超出 Logto 登录体验),此功能正在开发中。请关注更新。

保存你的配置

仔细检查你是否在 Logto 连接器配置区域填写了必要的值。点击“保存并完成”(或“保存更改”),Google 连接器现在应该可用了。

在登录体验中启用 Google 连接器

一旦你成功创建了一个社交连接器,你可以在登录体验中将其启用为“继续使用 Google”按钮。

  1. 导航到 Console > 登录体验 > 注册和登录
  2. (可选)如果只需要社交登录,选择“无”作为注册标识符。
  3. 将配置好的 Google 连接器添加到“社交登录”部分。

登录体验选项卡

测试和验证

返回到你的 Go 应用。你现在应该可以使用 Google 登录了。享受吧!

拓展阅读

终端用户流程:Logto 提供开箱即用的认证 (Authentication) 流程,包括多因素认证 (MFA) 和企业单点登录 (SSO),以及强大的 API,用于灵活实现账户设置、安全验证和多租户体验。

授权 (Authorization):授权 (Authorization) 定义了用户在被认证 (Authentication) 后可以执行的操作或访问的资源。探索如何保护你的 API 以用于原生和单页应用程序,并实现基于角色的访问控制 (RBAC)。

组织 (Organizations):在多租户 SaaS 和 B2B 应用中特别有效,组织功能支持租户创建、成员管理、组织级 RBAC 和即时供应。

客户 IAM 系列:我们关于客户(或消费者)身份和访问管理的系列博客文章,从 101 到高级主题及更深入的内容。