Deutsch
  • 404-not-found
  • logto-unknown-session
  • authorization-code-flow

Warum du beim Anmelden in deiner Logto-integrierten App einen 404-Fehler sehen könntest

Hast du schon einmal einen "404 Not Found"-Fehler erhalten, als du versucht hast, dich bei einer Logto-integrierten App anzumelden? In diesem Blog-Post wird erklärt, warum das passiert und was du tun kannst, um dies zu vermeiden.

Charles
Charles
Developer

Verschwenden Sie keine Wochen mit Benutzerauthentifizierung
Bringen Sie sichere Apps schneller mit Logto auf den Markt. Integrieren Sie Benutzerauthentifizierung in Minuten und konzentrieren Sie sich auf Ihr Kernprodukt.
Jetzt starten
Product screenshot

Hintergrund

Hast du schon einmal versucht, dich bei einer App anzumelden, die Logto zur Authentifizierung verwendet, und bist dabei auf einen "404 not found"-Fehler gestoßen? Haben dir Endnutzer von ähnlichen Problemen berichtet?

Logto session not found 404 error screenshot

Das kann passieren, wenn du direkt auf die Anmeldeseite zugreifst (z. B. https://your-app.com/sign-in), ohne den vorgesehenen Anmelde-Flow der Anwendung zu durchlaufen.

Hier ist der Grund dafür:

Die Bedeutung des OIDC-Flows

Logto basiert auf dem OpenID Connect (OIDC) Protokoll für sichere Authentifizierung. Wenn du dich über den normalen Anwendungs-Flow anmeldest (z. B. typischerweise durch einen Klick auf einen Anmeldebutton in deiner App), startet die Anwendung eine Kommunikation mit dem OIDC-Server von Logto. Diese Kommunikation, genannt "Authorization Request" (Autorisierungsanfrage), ist wichtig, da dabei verschiedene Prüfungen am Aufrufer durchgeführt werden und dann eine sichere Session zwischen deinem Browser und dem Server (gesteuert durch Cookies) eingerichtet wird.

Das Problem tritt auf, wenn Nutzer direkt auf die Seite "/sign-in" navigieren. Dadurch wird die interne Logik der Anwendung umgangen, die eigentlich die OIDC-Autorisierungsanfrage auslöst. Infolgedessen erkennt der Server deinen Browser nicht als Teil einer gültigen Session; das führt dann zum 404-Fehler.

Die Lösung

Es gibt zwei Hauptwege, dieses Problem zu umgehen:

Immer den Anmelde-Button der App nutzen

Statt direkt die Seite "/sign-in" aufzurufen, solltest du dem vorgesehenen Login-Flow der Anwendung folgen. Beim Klick auf den "Anmelden" Button in der App wird die korrekte OIDC-Autorisierungsanfrage ausgelöst und die notwendige Session wird eingerichtet.

Nutzer automatisch weiterleiten

Wenn du nur eine Anwendung in deiner Logto-Instanz hast, kannst du Logik implementieren, die Zugriffsversuche auf die "/sign-in"-Seite ohne gültige Session automatisch abfängt und den Nutzer auf deine Hauptseite zurückleitet, auf der ein Anmeldebutton zu sehen ist.

Um das zu unterstützen, hat Logto die Einstellung “Unknown session redirect URL” eingeführt. Wenn du diese URL einträgst, wird Logto Nutzer automatisch auf die angegebene Seite umleiten, statt den 404-Fehler anzuzeigen. Zum Beispiel könntest du die Benutzer auf die Startseite deiner App oder auf einen individuellen Login-Bildschirm weiterleiten. Nach der Umleitung sollte deine Client-Anwendung einen neuen Anmelde-Flow starten.

Um dies zu konfigurieren, gehe in der Logto-Konsole zu Logto Cloud > Anmeldeerlebnis > Registrierung und Anmeldung > Erweiterte Optionen und trage dort deine Fallback-URL ein.

Bei Logto Cloud ist dies zum Beispiel auf https://cloud.logto.io/ eingestellt. Nachdem du dies gesetzt hast, werden alle Nutzer, die /sign-in ohne gültige Session aufrufen, zu dieser URL weitergeleitet, um die Authentifizierung erneut zu starten.

Weitere Überlegungen zur Verbesserung der Nutzererfahrung

Wir möchten das Nutzererlebnis verbessern, indem wir zumindest hilfreiche Hinweise auf der "/unknown-session"-Seite anzeigen, den Grund für den 404-Fehler erläutern und den Nutzern erklären, was sie als Nächstes tun können, statt sie ratlos zurückzulassen. Beispielsweise unterstützt Logto das Hinterlegen von individueller Support-E-Mail und Webadresse für Fehlerseiten bei der Anmeldung. Nutzer mit einem Fehler sehen dann deine Kontaktinformationen und können sich Hilfe holen.

Wir denken außerdem über weitere Sicherheitsmaßnahmen nach, um das Problem zu entschärfen, etwa durch eine automatische Weiterleitung zur "Sign-out redirect URI" (normalerweise die Startseite der App), wenn für die aktuelle Logto-Instanz nur eine Anwendung erkannt wird, oder durch eine zusätzliche Konfiguration, um bei solchen Fällen eine individuelle Nachricht anzuzeigen.

Fazit

Der 404 not found (ungültige Session) Fehler auf der "/sign-in"-Seite wird in der Regel dadurch verursacht, dass die URL der Anmeldeseite direkt aufgerufen wird und damit der normale Anmelde-Flow der Anwendung umgangen wird, der eigentlich eine Autorisierungsanfrage auslöst – dadurch wird keine gültige Session (über Cookies verwaltet) aufgebaut.

Wenn du diesen Ablauf und seine Bedeutung verstehst, kannst du den Fehler vermeiden und ein reibungsloses Anmeldeerlebnis mit deiner Logto-integrierten App genießen.

Melde dich gerne bei uns, wenn du deine Ideen mit uns teilen möchtest.