跳到主要内容
给我们的新朋友:

Logto 是一个为现代应用和 SaaS 产品设计的 Auth0 替代方案。它提供 Cloud开源 服务,帮助你快速启动身份和管理 (IAM) 系统。享受认证 (Authentication)、授权 (Authorization) 和多租户管理 一体化

我们建议从 Logto Cloud 上的免费开发租户开始。这可以让你轻松探索所有功能。

在本文中,我们将介绍使用 PythonLogto 快速构建 OAuth2 登录体验(用户认证 (Authentication))的步骤。

先决条件

  • 一个正在运行的 Logto 实例。查看 介绍页面 以开始。
  • Python 的基本知识。
  • 一个可用的 OAuth2 账户。

在 Logto 中创建一个应用程序

Logto 基于 OpenID Connect (OIDC) 认证 (Authentication) 和 OAuth 2.0 授权 (Authorization)。它支持跨多个应用程序的联合身份管理,通常称为单点登录 (SSO)。

要创建你的 Traditional web 应用程序,只需按照以下步骤操作:

  1. 打开 Logto Console。在“开始使用”部分,点击“查看全部”链接以打开应用程序框架列表。或者,你可以导航到 Logto Console > Applications,然后点击“创建应用程序”按钮。 开始使用
  2. 在打开的模态窗口中,点击“Traditional web”部分,或使用左侧的快速过滤复选框过滤所有可用的“Traditional web”框架。点击 "Flask" 框架卡片以开始创建你的应用程序。 框架
  3. 输入应用程序名称,例如“Bookstore”,然后点击“创建应用程序”。

🎉 太棒了!你刚刚在 Logto 中创建了你的第一个应用程序。你将看到一个祝贺页面,其中包含详细的集成指南。按照指南查看你的应用程序中的体验将会是什么样的。

集成 Flask SDK

提示:
  • 示例使用 Flask,但概念对于其他框架是相同的。
  • Python 示例项目可在我们的 Python SDK 仓库 中找到。
  • Logto SDK 利用协程,调用异步函数时请记得使用 await

安装

在项目根目录执行:

pip install logto # 或者 `poetry add logto` 或者你使用的其他工具

初始化 LogtoClient

首先,创建一个 Logto 配置:

client.py
from logto import LogtoClient, LogtoConfig

client = LogtoClient(
    LogtoConfig(
        endpoint="https://you-logto-endpoint.app",  # 用你的 Logto endpoint 替换
        appId="replace-with-your-app-id",
        appSecret="replace-with-your-app-secret",
    ),
)
提示:

你可以在管理控制台的应用详情页面找到并复制“应用密钥”:

App Secret

还可以将默认的内存存储替换为持久存储,例如:

client.py
from logto import LogtoClient, LogtoConfig, Storage
from flask import session
from typing import Union

class SessionStorage(Storage):
    def get(self, key: str) -> Union[str, None]:
        return session.get(key, None)

    def set(self, key: str, value: Union[str, None]) -> None:
        session[key] = value

    def delete(self, key: str) -> None:
        session.pop(key, None)

client = LogtoClient(
    LogtoConfig(...),
    storage=SessionStorage(),
)

查看 Storage 了解更多详情。

实现登录和登出

在你的 Web 应用中,添加一个路由来正确处理用户的登录请求。我们以 /sign-in 为例:

flask.py
@app.route("/sign-in")
async def sign_in():
  # 获取登录 URL 并重定向用户到该 URL
  return redirect(await client.signIn(
      redirectUri="http://localhost:3000/callback",
  ))

http://localhost:3000/callback 替换为你在 Logto Console 中为此应用设置的回调 URL。

如果你想在第一个屏幕显示注册页面,可以将 interactionMode 设置为 signUp

flask.py
@app.route("/sign-in")
async def sign_in():
  return redirect(await client.signIn(
      redirectUri="http://localhost:3000/callback",
      interactionMode="signUp", # 在第一个屏幕显示注册页面
  ))

现在,每当你的用户访问 http://localhost:3000/sign-in 时,就会启动一个新的登录尝试,并将用户重定向到 Logto 登录页面。

注意 创建一个登录路由并不是启动登录尝试的唯一方法。你可以随时使用 signIn 方法获取登录 URL 并将用户重定向到该 URL。

在用户发出注销请求后,Logto 将清除会话中的所有用户认证 (Authentication) 信息。

要清理 Python 会话和 Logto 会话,可以实现一个注销路由,如下所示:

flask.py
@app.route("/sign-out")
async def sign_out():
  return redirect(
      # 在成功注销后将用户重定向到主页
      await client.signOut(postLogoutRedirectUri="http://localhost:3000/")
  )

处理认证 (Authentication) 状态

在 Logto SDK 中,我们可以使用 client.isAuthenticated() 来检查认证 (Authentication) 状态,如果用户已登录,值将为 true,否则,值将为 false。

这里我们还实现了一个简单的主页用于演示:

  • 如果用户未登录,显示一个登录按钮;
  • 如果用户已登录,显示一个登出按钮。
@app.route("/")
async def home():
    if client.isAuthenticated() is False:
        return "未认证 <a href='/sign-in'>登录</a>"
    return "已认证 <a href='/sign-out'>登出</a>"

检查点:测试你的应用程序

现在,你可以测试你的应用程序:

  1. 运行你的应用程序,你将看到登录按钮。
  2. 点击登录按钮,SDK 将初始化登录过程并将你重定向到 Logto 登录页面。
  3. 登录后,你将被重定向回你的应用程序,并看到登出按钮。
  4. 点击登出按钮以清除令牌存储并登出。

添加 OAuth2 连接器

要实现快速登录并提高用户转化率,请将 Flask 作为身份提供商 (IdP) 进行连接。Logto 社交连接器可以帮助你在几分钟内通过允许输入多个参数来建立此连接。

要添加社交连接器,只需按照以下步骤操作:

  1. 导航到 Console > Connectors > Social Connectors
  2. 点击“添加社交连接器”并选择“OAuth2”。
  3. 按照 README 指南完成必填字段并自定义设置。

Connector tab

备注:

如果你正在按照现场连接器指南进行操作,可以跳过下一部分。

设置 标准 OAuth 2.0 应用

创建你的 OAuth 应用

当你打开此页面时,我们相信你已经知道要连接哪个社交身份提供商。首先要做的是确认身份提供商支持 OAuth 协议,这是配置有效连接器的前提条件。然后,按照身份提供商的说明注册并创建用于 OAuth 授权的相关应用。

配置你的连接器

出于安全考虑,我们仅支持“授权码”授权类型,并且它可以完美适应 Logto 的场景。

clientIdclientSecret 可以在你的 OAuth 应用详情页面找到。

clientId:客户端 ID 是一个唯一标识符,用于在注册时识别客户端应用程序。授权服务器使用此 ID 验证客户端应用程序的身份,并将任何授权的访问令牌与该特定客户端应用程序关联。

clientSecret:客户端密钥是授权服务器在注册期间发放给客户端应用程序的机密密钥。客户端应用程序使用此密钥在请求访问令牌时向授权服务器进行身份验证。客户端密钥被视为机密信息,应始终保持安全。

tokenEndpointAuthMethod:令牌端点认证方法由客户端应用程序在请求访问令牌时用于向授权服务器进行身份验证。要发现支持的方法,请查阅 OAuth 2.0 服务提供商的 OpenID Connect 发现端点中的 token_endpoint_auth_methods_supported 字段,或参考 OAuth 2.0 服务提供商提供的相关文档。

clientSecretJwtSigningAlgorithm (可选):仅在 tokenEndpointAuthMethodclient_secret_jwt 时需要。客户端密钥 JWT 签名算法由客户端应用程序用于在令牌请求期间向授权服务器发送的 JWT 进行签名。

scope:权限参数用于指定客户端应用程序请求访问的资源和权限集。权限参数通常定义为一个空格分隔的值列表,代表特定的权限。例如,权限值“read write”可能表示客户端应用程序请求对用户数据的读写访问。

你需要在社交供应商的文档中找到 authorizationEndpointtokenEndpointuserInfoEndpoint

authenticationEndpoint:此端点用于启动认证 (Authentication) 过程。认证 (Authentication) 过程通常涉及用户登录并授权客户端应用程序访问其资源。

tokenEndpoint:此端点由客户端应用程序用于获取可以用于访问请求资源的访问令牌。客户端应用程序通常向令牌端点发送带有授权类型和授权码的请求以接收访问令牌。

userInfoEndpoint:此端点由客户端应用程序用于获取有关用户的其他信息,例如他们的全名、电子邮件地址或个人资料图片。用户信息端点通常在客户端应用程序从令牌端点获取访问令牌后访问。

Logto 还提供了一个 profileMap 字段,用户可以自定义从社交供应商的配置文件中映射,这些配置文件通常不是标准的。键是 Logto 的标准用户配置文件字段名称,相应的值应该是社交配置文件的字段名称。在当前阶段,Logto 只关注社交配置文件中的 'id'、'name'、'avatar'、'email' 和 'phone',只有 'id' 是必需的,其他是可选字段。

responseTypegrantType 在授权码授权类型中只能是固定值,因此我们将它们设为可选,默认值将自动填充。

例如,你可以找到 Google 用户配置文件响应,因此其 profileMap 应如下所示:

{
  "id": "sub",
  "avatar": "picture"
}
备注:

我们提供了一个可选的 customConfig 键来放置你的自定义参数。 每个社交身份提供商可能在 OAuth 标准协议上有自己的变体。如果你想要的社交身份提供商严格遵循 OAuth 标准协议,那么你不需要关心 customConfig

配置类型

名称类型必需
authorizationEndpointstringtrue
userInfoEndpointstringtrue
clientIdstringtrue
clientSecretstringtrue
tokenEndpointResponseTypeenumfalse
responseTypestringfalse
grantTypestringfalse
tokenEndpointstringfalse
scopestringfalse
customConfigRecord<string, string>false
profileMapProfileMapfalse
ProfileMap 字段类型必需默认值
idstringfalseid
namestringfalsename
avatarstringfalseavatar
emailstringfalseemail
phonestringfalsephone

保存你的配置

仔细检查你是否在 Logto 连接器配置区域填写了必要的值。点击“保存并完成”(或“保存更改”),OAuth2 连接器现在应该可用了。

在登录体验中启用 OAuth2 连接器

一旦你成功创建了一个社交连接器,你可以在登录体验中将其启用为“继续使用 OAuth2”按钮。

  1. 导航到 Console > 登录体验 > 注册和登录
  2. (可选)如果只需要社交登录,选择“无”作为注册标识符。
  3. 将配置好的 OAuth2 连接器添加到“社交登录”部分。

登录体验选项卡

测试和验证

返回到你的 Python 应用。你现在应该可以使用 OAuth2 登录了。享受吧!

拓展阅读

终端用户流程:Logto 提供开箱即用的认证 (Authentication) 流程,包括多因素认证 (MFA) 和企业单点登录 (SSO),以及强大的 API,用于灵活实现账户设置、安全验证和多租户体验。

授权 (Authorization):授权 (Authorization) 定义了用户在被认证 (Authentication) 后可以执行的操作或访问的资源。探索如何保护你的 API 以用于原生和单页应用程序,并实现基于角色的访问控制 (RBAC)。

组织 (Organizations):在多租户 SaaS 和 B2B 应用中特别有效,组织功能支持租户创建、成员管理、组织级 RBAC 和即时供应。

客户 IAM 系列:我们关于客户(或消费者)身份和访问管理的系列博客文章,从 101 到高级主题及更深入的内容。