應用程式資料結構
簡介
在 Logto 中,應用程式 指的是已註冊於 Logto 平台,並獲授權可存取使用者資訊或代表使用者執行操作的特定軟體程式或服務。應用程式用於識別向 Logto API 發出的請求來源,同時管理使用者存取這些應用程式時的驗證 (Authentication) 與授權 (Authorization) 流程。
在 Logto 的登入體驗 (Sign-in experience) 中使用應用程式,讓使用者能從單一位置輕鬆存取並管理其已授權的應用程式,並享有一致且安全的驗證流程。這有助於簡化使用者體驗,並確保只有經授權的人員能存取敏感資訊或代表組織執行操作。
應用程式也用於 Logto 的稽核日誌 (Audit logs) 中,以追蹤使用者活動並識別潛在的安全威脅或違規行為。透過將特定操作與特定應用程式關聯,Logto 能提供資料存取與使用的詳細洞察,協助組織更好地管理安全性與合規需求。 若你想將應用程式與 Logto 整合,請參閱 整合 Logto。
屬性
應用程式 ID
應用程式 ID 是用於在 Logto 中識別應用程式的唯一自動產生金鑰,在 OAuth 2.0 中稱為 client id。
應用程式類型
應用程式 可為下列其中一種類型:
- 原生應用程式 (Native app):運行於原生環境的應用程式。例如 iOS app、Android app。
- 單頁應用程式 (Single page app):運行於網頁瀏覽器中,透過伺服器新資料更新頁面而不需整頁重新載入的應用程式。例如 React DOM app、Vue app。
- 傳統網頁應用程式 (Traditional web app):僅由網頁伺服器渲染與更新頁面的應用程式。例如 JSP、PHP。
- 機器對機器 (M2M) 應用程式:運行於機器環境、用於直接服務對服務通訊且無需使用者互動的應用程式。
應用程式密鑰
應用程式密鑰 是用於驗證 (Authentication) 系統中應用程式身分的金鑰,專為私有用戶端(傳統網頁與 M2M 應用程式)作為私有安全屏障。
單頁應用程式 (SPA) 與原生應用程式不提供應用程式密鑰。SPA 與原生應用程式屬於「公開用戶端」,無法安全保存密鑰(瀏覽器程式碼或 app bundle 可被檢查)。Logto 以 PKCE、嚴格的重導 URI / CORS 驗證、短效存取權杖 (Access token) 與重新整理權杖 (Refresh token) 輪替來保護這些應用程式。
應用程式名稱
應用程式名稱 是應用程式的人類可讀名稱,會顯示於管理主控台。
應用程式名稱 是 Logto 應用程式管理的重要組成,讓管理員能輕鬆識別並追蹤平台內各應用程式的活動。
請注意,應用程式名稱 應謹慎選擇,因為所有有權存取管理主控台的使用者都能看到。名稱應準確反映應用程式的用途與功能,並易於理解與辨識。
描述
應用程式的簡要描述,會顯示於管理主控台的應用程式詳細頁。描述旨在為管理員提供應用程式的額外資訊,例如用途、功能及其他相關細節。
重導 URI
重導 URI 是預先為應用程式設定的一組有效重導 URI。當使用者登入 Logto 並嘗試存取應用程式時,會被重導至應用程式設定中允許的 URI 之一。
允許的 URI 清單用於驗證應用程式在驗證 (Authentication) 流程中發送給 Logto 的授權請求所包含的重導 URI。若授權請求中的重導 URI 與應用程式設定中的允許 URI 相符,則使用者驗證成功後會被重導至該 URI。若不在允許清單中,則不會重導且驗證流程會失敗。
請確保所有有效的重導 URI 都已加入 Logto 應用程式的允許清單,以確保使用者驗證後能順利存取應用程式。
你可以參考 Redirection endpoint 以獲得更多資訊。
了解 OIDC 授權碼流程中的重導 URI
登出後重導 URI
登出後重導 URI 是預先為應用程式設定的一組有效 URI,供使用者自 Logto 登出後重導之用。
允許的 登出後重導 URI 用於 OIDC 的 RP 發起(Relying Party Initiated)登出規範。此規範為應用程式發起使用者登出請求提供標準化方法,包含在使用者登出後重導至預先設定的端點。
當使用者自 Logto 登出時,其工作階段會終止,並被重導至應用程式設定中允許的 URI 之一。這確保使用者僅被導向授權且有效的端點,避免將使用者重導至未知或未驗證端點所帶來的未授權存取與安全風險。
你可以參考 RP-initiated logout 以獲得更多資訊。
CORS 允許來源
CORS(跨來源資源共用)允許來源 是允許應用程式向 Logto 服務發送請求的來源清單。不在允許清單中的來源將無法向 Logto 服務發送請求。
CORS 允許來源清單用於限制未授權網域存取 Logto 服務,並協助防範跨站請求偽造(CSRF)攻擊。透過在 Logto 中為應用程式指定允許來源,服務能確保僅授權網域能發送請求。
允許來源清單應包含應用程式實際服務的來源。這可確保應用程式的請求被允許,而未授權來源的請求則會被阻擋。
OpenID 提供者設定端點
授權端點
授權端點 (Authorization Endpoint) 為 OIDC 術語,是用於啟動使用者驗證流程的必要端點。當使用者嘗試存取已註冊於 Logto 平台的受保護資源或應用程式時,會被重導至 授權端點 以驗證身分並取得存取所需資源的授權。
你可以參考 Authorization Endpoint 以獲得更多資訊。
權杖端點
權杖端點 (Token Endpoint) 為 OIDC 術語,是 OIDC 用戶端用來向 OIDC 提供者取得存取權杖 (Access token)、ID 權杖 (ID token) 或重新整理權杖 (Refresh token) 的 Web API 端點。
當 OIDC 用戶端需要取得存取權杖或 ID 權杖時,會攜帶授權授權(通常為授權碼或重新整理權杖)向權杖端點發送請求。權杖端點驗證授權授權後,若有效則發放存取權杖或 ID 權杖給用戶端。
你可以參考 Token Endpoint 以獲得更多資訊。
Userinfo 端點
OpenID Connect UserInfo Endpoint。
總是發放重新整理權杖 (Refresh token)
適用範圍:傳統網頁、SPA
啟用後,Logto 將總是發放重新整理權杖 (Refresh token),無論驗證請求中是否帶有 prompt=consent,或權限範圍 (Scopes) 中是否帶有 offline_access。
但除非必要(通常僅用於某些需要重新整理權杖的第三方 OAuth 整合),否則不建議這麼做,因為這不符合 OpenID Connect 標準,且可能導致問題。
重新整理權杖 (Refresh token) 輪替
預設值:true
啟用後,Logto 會在下列情況下於權杖請求時發放新的重新整理權杖 (Refresh token):
- 若重新整理權杖已輪替(TTL 已延長並發放新權杖)達一年;或
- 若重新整理權杖即將到期(已過原始存活時間 (TTL) 的 70% 以上);或
- 若用戶端為公開用戶端,例如原生應用程式或單頁應用程式 (SPA)。
對於公開用戶端,啟用此功能時,每當用戶端以重新整理權杖換取新存取權杖時,總會發放新的重新整理權杖。 雖然你仍可為這些公開用戶端關閉此功能,但強烈建議為安全考量保持啟用。
了解重新整理權杖 (Refresh token) 輪替
重新整理權杖 (Refresh token) 存活時間(TTL,天)
適用範圍:非 SPA;預設值:14 天
重新整理權杖可用於請求新存取權杖的有效期間,過期後即失效。權杖請求會將重新整理權杖的 TTL 延長至此值。
通常建議設為較低的值。
注意:SPA(單頁應用程式)因安全考量不支援 TTL 延長。這表示 Logto 不會透過權杖請求延長 TTL。為提升使用者體驗,可啟用「重新整理權杖輪替」功能,讓 Logto 在必要時發放新的重新整理權杖。
後台登出 URI
OpenID Connect 後台登出 (Backchannel logout) 端點。詳情請參閱 聯邦登出:後台登出。
自訂資料
未列於預設應用程式屬性中的額外自訂應用程式資訊,使用者可依自身需求定義自訂資料欄位,例如業務專屬設定與配置。