Implementar un SDK OIDC sencillo del lado del cliente
Logto ofrece una variedad de SDKs para diferentes plataformas. Aparte de nuestros SDKs oficiales, alentamos a los desarrolladores de la comunidad a crear sus propios SDKs amigables para el usuario. Este artículo te guiará en la construcción de un SDK básico del lado del cliente para OIDC.
Developer
Introducción
Logto proporciona a nuestros desarrolladores y grupos empresariales una solución integral de Identidad de Cliente y Gestión de Acceso (CIAM). Ofrecemos una amplia gama de SDKs listos para usar para diferentes plataformas y marcos de aplicación. Combinado con nuestro servicio en la nube de Logto, puedes establecer sin esfuerzo un flujo de autorización de usuario altamente seguro para tu aplicación en cuestión de minutos. Como una empresa que nació de la comunidad de desarrolladores, Logto acoge y valora nuestro compromiso con la comunidad. Además de los SDKs de Logto oficialmente desarrollados, continuamente alentamos y damos una cálida bienvenida a los desarrolladores de la comunidad a contribuir con su experiencia creando SDKs más diversos y fáciles de usar, satisfaciendo las necesidades únicas de diversas plataformas y marcos. En este artículo, demostraremos brevemente cómo implementar un SDK de autenticación estándar OIDC paso a paso.
Contexto
El flujo de Conexión Abierta (OIDC) es un protocolo de autenticación que se basa en el marco de trabajo OAuth 2.0 para proporcionar verificación de identidad y capacidades de inicio de sesión único. Permite a los usuarios autenticarse con una aplicación y obtener autorización para acceder de forma segura a cualquier recurso privado. Por favor, consulta las especificaciones de OIDC para más detalles.
Flujo de trabajo
Un flujo de código de autorización estándar incluye los siguientes pasos:
%3bfill:%23ECECFF%3b%7d%23mermaid-0 text.actor%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .actor-line%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3b%7d%23mermaid-0 .messageLine0%7bstroke-width:1.5%3bstroke-dasharray:none%3bstroke:%23333%3b%7d%23mermaid-0 .messageLine1%7bstroke-width:1.5%3bstroke-dasharray:2%2c2%3bstroke:%23333%3b%7d%23mermaid-0 %23arrowhead path%7bfill:%23333%3bstroke:%23333%3b%7d%23mermaid-0 .sequenceNumber%7bfill:white%3b%7d%23mermaid-0 %23sequencenumber%7bfill:%23333%3b%7d%23mermaid-0 %23crosshead path%7bfill:%23333%3bstroke:%23333%3b%7d%23mermaid-0 .messageText%7bfill:%23333%3bstroke:none%3b%7d%23mermaid-0 .labelBox%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3b%7d%23mermaid-0 .labelText%2c%23mermaid-0 .labelText%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .loopText%2c%23mermaid-0 .loopText%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .loopLine%7bstroke-width:2px%3bstroke-dasharray:2%2c2%3bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3b%7d%23mermaid-0 .note%7bstroke:%23aaaa33%3bfill:%23fff5ad%3b%7d%23mermaid-0 .noteText%2c%23mermaid-0 .noteText%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .activation0%7bfill:%23f4f4f4%3bstroke:%23666%3b%7d%23mermaid-0 .activation1%7bfill:%23f4f4f4%3bstroke:%23666%3b%7d%23mermaid-0 .activation2%7bfill:%23f4f4f4%3bstroke:%23666%3b%7d%23mermaid-0 .actorPopupMenu%7bposition:absolute%3b%7d%23mermaid-0 .actorPopupMenuPanel%7bposition:absolute%3bfill:%23ECECFF%3bbox-shadow:0px 8px 16px 0px rgba(0%2c0%2c0%2c0.2)%3bfilter:drop-shadow(3px 5px 2px rgb(0 0 0 / 0.4))%3b%7d%23mermaid-0 .actor-man line%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3b%7d%23mermaid-0 .actor-man circle%2c%23mermaid-0 line%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3bstroke-width:2px%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg/%3e%3cdefs%3e%3csymbol height='24' width='24' id='computer'%3e%3cpath d='M2 2v13h20v-13h-20zm18 11h-16v-9h16v9zm-10.228 6l.466-1h3.524l.467 1h-4.457zm14.228 3h-24l2-6h2.104l-1.33 4h18.45l-1.297-4h2.073l2 6zm-5-10h-14v-7h14v7z' transform='scale(.5)'/%3e%3c/symbol%3e%3c/defs%3e%3cdefs%3e%3csymbol clip-rule='evenodd' fill-rule='evenodd' id='database'%3e%3cpath d='M12.258.001l.256.004.255.005.253.008.251.01.249.012.247.015.246.016.242.019.241.02.239.023.236.024.233.027.231.028.229.031.225.032.223.034.22.036.217.038.214.04.211.041.208.043.205.045.201.046.198.048.194.05.191.051.187.053.183.054.18.056.175.057.172.059.168.06.163.061.16.063.155.064.15.066.074.033.073.033.071.034.07.034.069.035.068.035.067.035.066.035.064.036.064.036.062.036.06.036.06.037.058.037.058.037.055.038.055.038.053.038.052.038.051.039.05.039.048.039.047.039.045.04.044.04.043.04.041.04.04.041.039.041.037.041.036.041.034.041.033.042.032.042.03.042.029.042.027.042.026.043.024.043.023.043.021.043.02.043.018.044.017.043.015.044.013.044.012.044.011.045.009.044.007.045.006.045.004.045.002.045.001.045v17l-.001.045-.002.045-.004.045-.006.045-.007.045-.009.044-.011.045-.012.044-.013.044-.015.044-.017.043-.018.044-.02.043-.021.043-.023.043-.024.043-.026.043-.027.042-.029.042-.03.042-.032.042-.033.042-.034.041-.036.041-.037.041-.039.041-.04.041-.041.04-.043.04-.044.04-.045.04-.047.039-.048.039-.05.039-.051.039-.052.038-.053.038-.055.038-.055.038-.058.037-.058.037-.06.037-.06.036-.062.036-.064.036-.064.036-.066.035-.067.035-.068.035-.069.035-.07.034-.071.034-.073.033-.074.033-.15.066-.155.064-.16.063-.163.061-.168.06-.172.059-.175.057-.18.056-.183.054-.187.053-.191.051-.194.05-.198.048-.201.046-.205.045-.208.043-.211.041-.214.04-.217.038-.22.036-.223.034-.225.032-.229.031-.231.028-.233.027-.236.024-.239.023-.241.02-.242.019-.246.016-.247.015-.249.012-.251.01-.253.008-.255.005-.256.004-.258.001-.258-.001-.256-.004-.255-.005-.253-.008-.251-.01-.249-.012-.247-.015-.245-.016-.243-.019-.241-.02-.238-.023-.236-.024-.234-.027-.231-.028-.228-.031-.226-.032-.223-.034-.22-.036-.217-.038-.214-.04-.211-.041-.208-.043-.204-.045-.201-.046-.198-.048-.195-.05-.19-.051-.187-.053-.184-.054-.179-.056-.176-.057-.172-.059-.167-.06-.164-.061-.159-.063-.155-.064-.151-.066-.074-.033-.072-.033-.072-.034-.07-.034-.069-.035-.068-.035-.067-.035-.066-.035-.064-.036-.063-.036-.062-.036-.061-.036-.06-.037-.058-.037-.057-.037-.056-.038-.055-.038-.053-.038-.052-.038-.051-.039-.049-.039-.049-.039-.046-.039-.046-.04-.044-.04-.043-.04-.041-.04-.04-.041-.039-.041-.037-.041-.036-.041-.034-.041-.033-.042-.032-.042-.03-.042-.029-.042-.027-.042-.026-.043-.024-.043-.023-.043-.021-.043-.02-.043-.018-.044-.017-.043-.015-.044-.013-.044-.012-.044-.011-.045-.009-.044-.007-.045-.006-.045-.004-.045-.002-.045-.001-.045v-17l.001-.045.002-.045.004-.045.006-.045.007-.045.009-.044.011-.045.012-.044.013-.044.015-.044.017-.043.018-.044.02-.043.021-.043.023-.043.024-.043.026-.043.027-.042.029-.042.03-.042.032-.042.033-.042.034-.041.036-.041.037-.041.039-.041.04-.041.041-.04.043-.04.044-.04.046-.04.046-.039.049-.039.049-.039.051-.039.052-.038.053-.038.055-.038.056-.038.057-.037.058-.037.06-.037.061-.036.062-.036.063-.036.064-.036.066-.035.067-.035.068-.035.069-.035.07-.034.072-.034.072-.033.074-.033.151-.066.155-.064.159-.063.164-.061.167-.06.172-.059.176-.057.179-.056.184-.054.187-.053.19-.051.195-.05.198-.048.201-.046.204-.045.208-.043.211-.041.214-.04.217-.038.22-.036.223-.034.226-.032.228-.031.231-.028.234-.027.236-.024.238-.023.241-.02.243-.019.245-.016.247-.015.249-.012.251-.01.253-.008.255-.005.256-.004.258-.001.258.001zm-9.258 20.499v.01l.001.021.003.021.004.022.005.021.006.022.007.022.009.023.01.022.011.023.012.023.013.023.015.023.016.024.017.023.018.024.019.024.021.024.022.025.023.024.024.025.052.049.056.05.061.051.066.051.07.051.075.051.079.052.084.052.088.052.092.052.097.052.102.051.105.052.11.052.114.051.119.051.123.051.127.05.131.05.135.05.139.048.144.049.147.047.152.047.155.047.16.045.163.045.167.043.171.043.176.041.178.041.183.039.187.039.19.037.194.035.197.035.202.033.204.031.209.03.212.029.216.027.219.025.222.024.226.021.23.02.233.018.236.016.24.015.243.012.246.01.249.008.253.005.256.004.259.001.26-.001.257-.004.254-.005.25-.008.247-.011.244-.012.241-.014.237-.016.233-.018.231-.021.226-.021.224-.024.22-.026.216-.027.212-.028.21-.031.205-.031.202-.034.198-.034.194-.036.191-.037.187-.039.183-.04.179-.04.175-.042.172-.043.168-.044.163-.045.16-.046.155-.046.152-.047.148-.048.143-.049.139-.049.136-.05.131-.05.126-.05.123-.051.118-.052.114-.051.11-.052.106-.052.101-.052.096-.052.092-.052.088-.053.083-.051.079-.052.074-.052.07-.051.065-.051.06-.051.056-.05.051-.05.023-.024.023-.025.021-.024.02-.024.019-.024.018-.024.017-.024.015-.023.014-.024.013-.023.012-.023.01-.023.01-.022.008-.022.006-.022.006-.022.004-.022.004-.021.001-.021.001-.021v-4.127l-.077.055-.08.053-.083.054-.085.053-.087.052-.09.052-.093.051-.095.05-.097.05-.1.049-.102.049-.105.048-.106.047-.109.047-.111.046-.114.045-.115.045-.118.044-.12.043-.122.042-.124.042-.126.041-.128.04-.13.04-.132.038-.134.038-.135.037-.138.037-.139.035-.142.035-.143.034-.144.033-.147.032-.148.031-.15.03-.151.03-.153.029-.154.027-.156.027-.158.026-.159.025-.161.024-.162.023-.163.022-.165.021-.166.02-.167.019-.169.018-.169.017-.171.016-.173.015-.173.014-.175.013-.175.012-.177.011-.178.01-.179.008-.179.008-.181.006-.182.005-.182.004-.184.003-.184.002h-.37l-.184-.002-.184-.003-.182-.004-.182-.005-.181-.006-.179-.008-.179-.008-.178-.01-.176-.011-.176-.012-.175-.013-.173-.014-.172-.015-.171-.016-.17-.017-.169-.018-.167-.019-.166-.02-.165-.021-.163-.022-.162-.023-.161-.024-.159-.025-.157-.026-.156-.027-.155-.027-.153-.029-.151-.03-.15-.03-.148-.031-.146-.032-.145-.033-.143-.034-.141-.035-.14-.035-.137-.037-.136-.037-.134-.038-.132-.038-.13-.04-.128-.04-.126-.041-.124-.042-.122-.042-.12-.044-.117-.043-.116-.045-.113-.045-.112-.046-.109-.047-.106-.047-.105-.048-.102-.049-.1-.049-.097-.05-.095-.05-.093-.052-.09-.051-.087-.052-.085-.053-.083-.054-.08-.054-.077-.054v4.127zm0-5.654v.011l.001.021.003.021.004.021.005.022.006.022.007.022.009.022.01.022.011.023.012.023.013.023.015.024.016.023.017.024.018.024.019.024.021.024.022.024.023.025.024.024.052.05.056.05.061.05.066.051.07.051.075.052.079.051.084.052.088.052.092.052.097.052.102.052.105.052.11.051.114.051.119.052.123.05.127.051.131.05.135.049.139.049.144.048.147.048.152.047.155.046.16.045.163.045.167.044.171.042.176.042.178.04.183.04.187.038.19.037.194.036.197.034.202.033.204.032.209.03.212.028.216.027.219.025.222.024.226.022.23.02.233.018.236.016.24.014.243.012.246.01.249.008.253.006.256.003.259.001.26-.001.257-.003.254-.006.25-.008.247-.01.244-.012.241-.015.237-.016.233-.018.231-.02.226-.022.224-.024.22-.025.216-.027.212-.029.21-.03.205-.032.202-.033.198-.035.194-.036.191-.037.187-.039.183-.039.179-.041.175-.042.172-.043.168-.044.163-.045.16-.045.155-.047.152-.047.148-.048.143-.048.139-.05.136-.049.131-.05.126-.051.123-.051.118-.051.114-.052.11-.052.106-.052.101-.052.096-.052.092-.052.088-.052.083-.052.079-.052.074-.051.07-.052.065-.051.06-.05.056-.051.051-.049.023-.025.023-.024.021-.025.02-.024.019-.024.018-.024.017-.024.015-.023.014-.023.013-.024.012-.022.01-.023.01-.023.008-.022.006-.022.006-.022.004-.021.004-.022.001-.021.001-.021v-4.139l-.077.054-.08.054-.083.054-.085.052-.087.053-.09.051-.093.051-.095.051-.097.05-.1.049-.102.049-.105.048-.106.047-.109.047-.111.046-.114.045-.115.044-.118.044-.12.044-.122.042-.124.042-.126.041-.128.04-.13.039-.132.039-.134.038-.135.037-.138.036-.139.036-.142.035-.143.033-.144.033-.147.033-.148.031-.15.03-.151.03-.153.028-.154.028-.156.027-.158.026-.159.025-.161.024-.162.023-.163.022-.165.021-.166.02-.167.019-.169.018-.169.017-.171.016-.173.015-.173.014-.175.013-.175.012-.177.011-.178.009-.179.009-.179.007-.181.007-.182.005-.182.004-.184.003-.184.002h-.37l-.184-.002-.184-.003-.182-.004-.182-.005-.181-.007-.179-.007-.179-.009-.178-.009-.176-.011-.176-.012-.175-.013-.173-.014-.172-.015-.171-.016-.17-.017-.169-.018-.167-.019-.166-.02-.165-.021-.163-.022-.162-.023-.161-.024-.159-.025-.157-.026-.156-.027-.155-.028-.153-.028-.151-.03-.15-.03-.148-.031-.146-.033-.145-.033-.143-.033-.141-.035-.14-.036-.137-.036-.136-.037-.134-.038-.132-.039-.13-.039-.128-.04-.126-.041-.124-.042-.122-.043-.12-.043-.117-.044-.116-.044-.113-.046-.112-.046-.109-.046-.106-.047-.105-.048-.102-.049-.1-.049-.097-.05-.095-.051-.093-.051-.09-.051-.087-.053-.085-.052-.083-.054-.08-.054-.077-.054v4.139zm0-5.666v.011l.001.02.003.022.004.021.005.022.006.021.007.022.009.023.01.022.011.023.012.023.013.023.015.023.016.024.017.024.018.023.019.024.021.025.022.024.023.024.024.025.052.05.056.05.061.05.066.051.07.051.075.052.079.051.084.052.088.052.092.052.097.052.102.052.105.051.11.052.114.051.119.051.123.051.127.05.131.05.135.05.139.049.144.048.147.048.152.047.155.046.16.045.163.045.167.043.171.043.176.042.178.04.183.04.187.038.19.037.194.036.197.034.202.033.204.032.209.03.212.028.216.027.219.025.222.024.226.021.23.02.233.018.236.017.24.014.243.012.246.01.249.008.253.006.256.003.259.001.26-.001.257-.003.254-.006.25-.008.247-.01.244-.013.241-.014.237-.016.233-.018.231-.02.226-.022.224-.024.22-.025.216-.027.212-.029.21-.03.205-.032.202-.033.198-.035.194-.036.191-.037.187-.039.183-.039.179-.041.175-.042.172-.043.168-.044.163-.045.16-.045.155-.047.152-.047.148-.048.143-.049.139-.049.136-.049.131-.051.126-.05.123-.051.118-.052.114-.051.11-.052.106-.052.101-.052.096-.052.092-.052.088-.052.083-.052.079-.052.074-.052.07-.051.065-.051.06-.051.056-.05.051-.049.023-.025.023-.025.021-.024.02-.024.019-.024.018-.024.017-.024.015-.023.014-.024.013-.023.012-.023.01-.022.01-.023.008-.022.006-.022.006-.022.004-.022.004-.021.001-.021.001-.021v-4.153l-.077.054-.08.054-.083.053-.085.053-.087.053-.09.051-.093.051-.095.051-.097.05-.1.049-.102.048-.105.048-.106.048-.109.046-.111.046-.114.046-.115.044-.118.044-.12.043-.122.043-.124.042-.126.041-.128.04-.13.039-.132.039-.134.038-.135.037-.138.036-.139.036-.142.034-.143.034-.144.033-.147.032-.148.032-.15.03-.151.03-.153.028-.154.028-.156.027-.158.026-.159.024-.161.024-.162.023-.163.023-.165.021-.166.02-.167.019-.169.018-.169.017-.171.016-.173.015-.173.014-.175.013-.175.012-.177.01-.178.01-.179.009-.179.007-.181.006-.182.006-.182.004-.184.003-.184.001-.185.001-.185-.001-.184-.001-.184-.003-.182-.004-.182-.006-.181-.006-.179-.007-.179-.009-.178-.01-.176-.01-.176-.012-.175-.013-.173-.014-.172-.015-.171-.016-.17-.017-.169-.018-.167-.019-.166-.02-.165-.021-.163-.023-.162-.023-.161-.024-.159-.024-.157-.026-.156-.027-.155-.028-.153-.028-.151-.03-.15-.03-.148-.032-.146-.032-.145-.033-.143-.034-.141-.034-.14-.036-.137-.036-.136-.037-.134-.038-.132-.039-.13-.039-.128-.041-.126-.041-.124-.041-.122-.043-.12-.043-.117-.044-.116-.044-.113-.046-.112-.046-.109-.046-.106-.048-.105-.048-.102-.048-.1-.05-.097-.049-.095-.051-.093-.051-.09-.052-.087-.052-.085-.053-.083-.053-.08-.054-.077-.054v4.153zm8.74-8.179l-.257.004-.254.005-.25.008-.247.011-.244.012-.241.014-.237.016-.233.018-.231.021-.226.022-.224.023-.22.026-.216.027-.212.028-.21.031-.205.032-.202.033-.198.034-.194.036-.191.038-.187.038-.183.04-.179.041-.175.042-.172.043-.168.043-.163.045-.16.046-.155.046-.152.048-.148.048-.143.048-.139.049-.136.05-.131.05-.126.051-.123.051-.118.051-.114.052-.11.052-.106.052-.101.052-.096.052-.092.052-.088.052-.083.052-.079.052-.074.051-.07.052-.065.051-.06.05-.056.05-.051.05-.023.025-.023.024-.021.024-.02.025-.019.024-.018.024-.017.023-.015.024-.014.023-.013.023-.012.023-.01.023-.01.022-.008.022-.006.023-.006.021-.004.022-.004.021-.001.021-.001.021.001.021.001.021.004.021.004.022.006.021.006.023.008.022.01.022.01.023.012.023.013.023.014.023.015.024.017.023.018.024.019.024.02.025.021.024.023.024.023.025.051.05.056.05.06.05.065.051.07.052.074.051.079.052.083.052.088.052.092.052.096.052.101.052.106.052.11.052.114.052.118.051.123.051.126.051.131.05.136.05.139.049.143.048.148.048.152.048.155.046.16.046.163.045.168.043.172.043.175.042.179.041.183.04.187.038.191.038.194.036.198.034.202.033.205.032.21.031.212.028.216.027.22.026.224.023.226.022.231.021.233.018.237.016.241.014.244.012.247.011.25.008.254.005.257.004.26.001.26-.001.257-.004.254-.005.25-.008.247-.011.244-.012.241-.014.237-.016.233-.018.231-.021.226-.022.224-.023.22-.026.216-.027.212-.028.21-.031.205-.032.202-.033.198-.034.194-.036.191-.038.187-.038.183-.04.179-.041.175-.042.172-.043.168-.043.163-.045.16-.046.155-.046.152-.048.148-.048.143-.048.139-.049.136-.05.131-.05.126-.051.123-.051.118-.051.114-.052.11-.052.106-.052.101-.052.096-.052.092-.052.088-.052.083-.052.079-.052.074-.051.07-.052.065-.051.06-.05.056-.05.051-.05.023-.025.023-.024.021-.024.02-.025.019-.024.018-.024.017-.023.015-.024.014-.023.013-.023.012-.023.01-.023.01-.022.008-.022.006-.023.006-.021.004-.022.004-.021.001-.021.001-.021-.001-.021-.001-.021-.004-.021-.004-.022-.006-.021-.006-.023-.008-.022-.01-.022-.01-.023-.012-.023-.013-.023-.014-.023-.015-.024-.017-.023-.018-.024-.019-.024-.02-.025-.021-.024-.023-.024-.023-.025-.051-.05-.056-.05-.06-.05-.065-.051-.07-.052-.074-.051-.079-.052-.083-.052-.088-.052-.092-.052-.096-.052-.101-.052-.106-.052-.11-.052-.114-.052-.118-.051-.123-.051-.126-.051-.131-.05-.136-.05-.139-.049-.143-.048-.148-.048-.152-.048-.155-.046-.16-.046-.163-.045-.168-.043-.172-.043-.175-.042-.179-.041-.183-.04-.187-.038-.191-.038-.194-.036-.198-.034-.202-.033-.205-.032-.21-.031-.212-.028-.216-.027-.22-.026-.224-.023-.226-.022-.231-.021-.233-.018-.237-.016-.241-.014-.244-.012-.247-.011-.25-.008-.254-.005-.257-.004-.26-.001-.26.001z' transform='scale(.5)'/%3e%3c/symbol%3e%3c/defs%3e%3cdefs%3e%3csymbol height='24' width='24' id='clock'%3e%3cpath d='M12 2c5.514 0 10 4.486 10 10s-4.486 10-10 10-10-4.486-10-10 4.486-10 10-10zm0-2c-6.627 0-12 5.373-12 12s5.373 12 12 12 12-5.373 12-12-5.373-12-12-12zm5.848 12.459c.202.038.202.333.001.372-1.907.361-6.045 1.111-6.547 1.111-.719 0-1.301-.582-1.301-1.301 0-.512.77-5.447 1.125-7.445.034-.192.312-.181.343.014l.985 6.238 5.394 1.011z' transform='scale(.5)'/%3e%3c/symbol%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto-start-reverse' markerHeight='12' markerWidth='12' markerUnits='userSpaceOnUse' refY='5' refX='7.9' id='arrowhead'%3e%3cpath d='M -1 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker refY='4.5' refX='4' orient='auto' markerHeight='8' markerWidth='15' id='crosshead'%3e%3cpath style='stroke-dasharray: 0%2c 0%3b' d='M 1%2c2 L 6%2c7 M 6%2c2 L 1%2c7' stroke-width='1pt' stroke='black' fill='none'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='28' markerWidth='20' refY='7' refX='15.5' id='filled-head'%3e%3cpath d='M 18%2c7 L9%2c13 L14%2c7 L9%2c1 Z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='40' markerWidth='60' refY='15' refX='15' id='sequencenumber'%3e%3ccircle r='6' cy='15' cx='15'/%3e%3c/marker%3e%3c/defs%3e%3cg name='user' class='actor-man actor-top'%3e%3cline y2='45' x2='75' y1='25' x1='75' id='actor-man-torso0'/%3e%3cline y2='33' x2='93' y1='33' x1='57' id='actor-man-arms0'/%3e%3cline y2='45' x2='75' y1='60' x1='57'/%3e%3cline y2='60' x2='91' y1='45' x1='75'/%3e%3ccircle height='65' width='150' r='15' cy='10' cx='75'/%3e%3ctext style='text-anchor: middle%3b font-size: 16px%3b font-weight: 400%3b font-family: arial%2c sans-serif%3b' class='actor actor-man' alignment-baseline='central' dominant-baseline='central' y='67.5' x='75'%3e%3ctspan dy='0' x='75'%3eEnd User%3c/tspan%3e%3c/text%3e%3c/g%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='80' x='199'%3eanonymous visitor sign-in%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='109' x2='322' y1='109' x1='76'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='124' x='551'%3esend authentication request%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='153' x2='774' y1='153' x1='327'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='168' x='428'%3eredirect to the user sign-in page%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='197' x2='79' y1='197' x1='777'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='212' x='425'%3esign-in with credentials%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='241' x2='774' y1='241' x1='76'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='256' x='554'%3eredirect back to the client app with authorization_code%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='287' x2='330' y1='287' x1='777'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='302' x='551'%3etoken exchange request with the authorization_code%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='333' x2='774' y1='333' x1='327'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='348' x='554'%3egrant id_token%2c access_token and refresh_token%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='379' x2='330' y1='379' x1='777'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='394' x='202'%3eauthenticated%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='423' x2='79' y1='423' x1='325'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='438' x='655'%3eprivate api request with access_token%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='469' x2='982.5' y1='469' x1='327'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='484' x='882'%3esync signing key%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' stroke='none' stroke-width='2' class='messageLine1' y2='513' x2='779' y1='513' x1='985.5'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='528' x='988'%3etoken validation%3c/text%3e%3cpath style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' d='M 987.5%2c557 C 1047.5%2c547 1047.5%2c587 987.5%2c577'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='602' x='658'%3e200 OK%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='631' x2='330' y1='631' x1='985.5'/%3e%3cg name='user' class='actor-man actor-bottom'%3e%3cline y2='696' x2='75' y1='676' x1='75' id='actor-man-torso3'/%3e%3cline y2='684' x2='93' y1='684' x1='57' id='actor-man-arms3'/%3e%3cline y2='696' x2='75' y1='711' x1='57'/%3e%3cline y2='711' x2='91' y1='696' x1='75'/%3e%3ccircle height='65' width='150' r='15' cy='661' cx='75'/%3e%3ctext style='text-anchor: middle%3b font-size: 16px%3b font-weight: 400%3b font-family: arial%2c sans-serif%3b' class='actor actor-man' alignment-baseline='central' dominant-baseline='central' y='718.5' x='75'%3e%3ctspan dy='0' x='75'%3eEnd User%3c/tspan%3e%3c/text%3e%3c/g%3e%3c/svg%3e)
Flujo de autenticación
- El usuario inicia la petición de inicio de sesión: Un usuario anónimo llega a su aplicación a través de una entrada pública. Intenta autenticarse y tal vez solicitar el acceso a un recurso protegido en una aplicación o servicio de terceros.
- Autenticación del usuario: La aplicación cliente genera una URI de autenticación y envía una petición al servidor de autorización, que redirige al usuario a su página de inicio de sesión. El usuario interactúa con la página de inicio de sesión utilizando una amplia gama de métodos de inicio de sesión y se autentica en el servidor de autorización.
- Manejar el retorno de inicio de sesión: Tras una autenticación exitosa, el usuario será redirigido de vuelta a tu aplicación con un
authorization_codeconcedido. Esteauthorization_codecontiene todos los permisos relevantes vinculados al estado de la autenticación y los datos de autorización solicitados. - Intercambio de tokens: Solicitar el intercambio de tokens usando el
authorization_codeextraído de la dirección de redirección anterior. A cambio:
id_token: Un JWT firmado digitalmente que contiene información de identidad sobre el usuario autenticado.access_token: Unaccess_tokenopaco que puede ser utilizado para acceder al punto final de información básica del usuario.refresh_token: Token de credenciales que permite al usuario mantener un intercambio continuo para unaccess_token
Flujo de autorización
- Acceder a la información del usuario: Para acceder a más información del usuario, la aplicación puede hacer solicitudes adicionales al punto final de UserInfo, utilizando el
access_tokenopaco obtenido del flujo inicial de intercambio de tokens. Esto permite la recuperación de detalles adicionales sobre el usuario, como su dirección de correo electrónico o foto de perfil. - Conceder acceso al recurso protegido: Si es necesario, la aplicación puede hacer solicitudes adicionales al punto final de intercambio de tokens, utilizando el
refresh_tokencombinado con los parámetrosresourceyscope, para obtener unaccess_tokendedicado para que el usuario acceda al recurso objetivo. Este proceso resulta en la emisión de unaccess_tokenen formato JWT que contiene toda la información de autorización necesaria para acceder al recurso protegido.
Implementación
Seguiremos algunas estrategias de diseño dentro de nuestro SDK JavaScript @logto/client para demostrar el proceso de implementación de un SDK sencillo para tu propia aplicación cliente. Por favor, ten en cuenta que la estructura de código detallada puede variar dependiendo del marco de trabajo cliente con el que estás trabajando. Siéntete libre de elegir cualquiera de los SDKs oficiales de Logto como ejemplo para tu propio proyecto de SDK.
Vista previa
Constructor
El constructor debe tomar un logtoConfig como su entrada. Esto proporciona todas las configuraciones necesarias que necesitarás para establecer una conexión de autenticación a través de este SDK.
Dependiendo de la plataforma o marco de trabajo que estés utilizando para el SDK, puedes pasar una instancia de almacenamiento local persistente al constructor. Esta instancia de almacenamiento se utilizará para almacenar todos los tokens y secretos relacionados con la autorización.
Iniciar la autenticación del usuario
Antes de generar una URL de petición de autenticación, es esencial completar varios pasos de preparación para asegurar un proceso seguro.
Obtener las configuraciones OIDC del servidor de autorización
Define un método privado getOidcConfigs para obtener las configuraciones OIDC del punto final de descubrimiento del servidor de autorización. La respuesta de las configuraciones OIDC contiene toda la información de metadatos que el cliente puede usar para interactuar con el servidor de autorización, incluyendo sus ubicaciones de punto final y las capacidades del servidor. (Por favor, consulta las especificaciones de metadatos del servidor de autorización OAuth OAuth para más detalles.)
Generador PKCE
Un flujo de validación PKCE(Proof Key for Code Exchange) es esencial para todos los flujos de intercambio de código de autorización del cliente público. Mitiga el riesgo del ataque de intercepción del código de autorización. Por lo tanto, un code_challenge y un code_verifier es requerido para todas las peticiones de autorización de las aplicaciones cliente públicas (por ejemplo, aplicación nativa y SPA).
Los métodos de implementación pueden variar dependiendo de los lenguajes y marcos de trabajo que estés utilizando. Por favor, consulta la especificación de code_challenge y code_verifier para las definiciones detalladas.
Generar parámetro de estado
En el flujo de autorización, el parámetro de estado es un valor generado aleatoriamente que se incluye en la petición de autorización enviada por el cliente. Actúa como una medida de seguridad para prevenir ataques de falsificación de peticiones en sitios cruzados (CSRF).
Almacenar información de sesión intermedia
Hay varios parámetros que necesitan ser preservados en el almacenamiento para la validación después de que el usuario se autentique y sea redirigido de vuelta al lado del cliente. Vamos a implementar un método para establecer esos parámetros intermedios en el almacenamiento.
Iniciar sesión
Vamos a juntar todo lo que implementamos anteriormente, definamos un método que genere una URL de inicio de sesión para el usuario y redirija al usuario al servidor de autorización para autenticarse.
Manejar el retorno de inicio de sesión del usuario
En la sección anterior, creamos un método de inicio de sesión que genera una URL para la autenticación del usuario. Esta URL contiene todos los parámetros requeridos necesarios para iniciar un flujo de autenticación desde una aplicación cliente. El método redirige al usuario a la página de inicio de sesión del servidor de autorización para autenticarse. Después de un inicio de sesión exitoso, el usuario final será redirigido de vuelta a la ubicación de redirect_uri proporcionada anteriormente. Todos los parámetros necesarios serán llevados en la redirect_uri para completar los siguientes flujos de intercambio de tokens.
Extraer y verificar la URL de devolución de llamada
Este paso de validación es extremadamente importante para prevenir cualquier forma de ataques de devolución de llamada de autorización falsificados. La URL de devolución de llamada DEBE ser cuidadosamente verificada antes de enviar una petición de intercambio de código adicional al servidor de autorización. Primero que todo, necesitamos recuperar los datos de signInSession que almacenamos del almacenamiento de la aplicación.
Luego verifica el parámetro de la URL de devolución de llamada antes de enviar la petición de intercambio de código al servidor de autorización.
- Usa el
redirectUripreviamente almacenado para verificar si elcallbackUries el mismo que el que enviamos al servidor de autorización. - Usa el
statepreviamente almacenado para verificar si el estado devuelto es el mismo que el que enviamos al servidor de autorización. - Comprueba si el servidor de autorización devuelve algún error
- Comprueba la existencia del
authorization_codedevuelto
Enviar la petición de intercambio de código
Como último paso del flujo de autenticación del usuario, utilizaremos el authorization_code devuelto para enviar una petición de intercambio de tokens y obtener los tokens de autorización requeridos. Para obtener más detalles sobre las definiciones de los parámetros de la solicitud, por favor consulta la especificación de intercambio de tokens.
- code: el
authorization_codeque recibimos de la URI de devolución de llamada - clientId: la ID de la aplicación
- redirectUri: El mismo valor se utiliza al generar la URL de inicio de sesión para el usuario.
- codeVerifier: verificador de código PKCE. Igual que el redirectUri, el servidor de autorización comparará este valor con el que enviamos previamente, asegurando la validación de la petición de intercambio de tokens que entra.
Manejar la devolución de llamada de inicio de sesión
Recopilando todo lo que tenemos. Construyamos el método de manejo de devolución de llamada de inicio de sesión:
Como resultado, la petición de intercambio de tokens devolverá los siguientes tokens:
id_token: ID de OIDC idToken, un JSON Web Token (JWT) que contiene información de identidad sobre el usuario autenticado. El id_token también puede ser utilizado como la Única Fuente de Verdad (SSOT) del estado de autenticación de un usuario.access_token: El código de autorización predeterminado devuelto por el servidor de autorización. Puede ser utilizado para llamar al punto final de información del usuario y recuperar información autenticada del usuario.refresh_token: (si el scope offline_access está presente en la petición de autorización): Este token de actualización permite a la aplicación cliente obtener un nuevo token de acceso sin requerir que el usuario vuelva a autenticarse, concediendo un acceso a largo plazo a los recursos.expires_in: La duración del tiempo, en segundos, para la que el token de acceso es válido antes de que expire.
Verificación del token ID
Verificar y extraer reclamos del id_token es un paso crucial en el proceso de autenticación para asegurar la autenticidad e integridad del token. Aquí están los pasos clave involucrados en la verificación de un idToken.
- Verificación de la firma: El
id_tokenestá firmado digitalmente por el servidor de autorización utilizando su clave privada. La aplicación cliente necesita validar la firma utilizando la clave pública del servidor de autorización. Esto asegura que el token no ha sido manipulado y fue emitido por el servidor de autorización legítimo. - Verificación del emisor: Comprobar que la reclamación "iss" (emisor) en el
id_tokencoincide con el valor esperado, indicando que el token fue emitido por el servidor de autorización correcto. - Verificación de la audiencia: Asegurarse de que la reclamación "aud" (audiencia) en el
id_tokencoincide con la ID del cliente de la aplicación cliente, asegurando que el token está destinado al cliente. - Comprobar la expiración: Verificar que la reclamación "iat" (emitida en) en el
id_tokenno haya pasado la hora actual, asegurando que el token aún es válido. Dado que hay costos de transacción de red necesitamos establecer una tolerancia de tiempo emitida al validar la reclamación iat del token recibido.
El id_token devuelto es un token web JSON (JWT) estándar. Dependiendo del marco de trabajo que estés utilizando, puedes encontrar varios plugins de validación de tokens JWT convenientes para ayudar en la decodificación y validación del token. Para este ejemplo, utilizaremos jose en nuestro SDK de JavaScript para facilitar la validación y decodificación del token.
Obtener la información del usuario
Después de una autenticación de usuario exitosa, la información básica del usuario puede ser recuperada del id_token OIDC emitido por el servidor de autorización. Sin embargo, debido a consideraciones de rendimiento, el contenido del token JWT es limitado. Para obtener más información detallada del perfil del usuario, los servidores de autorización compatibles con OIDC ofrecen un punto final de información de usuario fuera de la caja. Este punto final te permite recuperar datos adicionales del perfil del usuario solicitando scopes específicos del perfil del usuario.
Al llamar a un punto final de intercambio de tokens sin indicar un recurso API específico, el servidor de autorización emitirá por defecto un access_token de tipo opaco. Este access_token sólo puede ser utilizado para acceder al punto final de información del usuario, permitiendo la recuperación de datos básicos del perfil del usuario.
Obtener token de acceso para autorización de recurso protegido
En la mayoría de los casos, una aplicación cliente no sólo requiere autenticación de usuario, sino también necesita autorización de usuario para acceder a ciertos recursos protegidos o puntos finales de la API. Aquí, utilizaremos el refresh_token obtenido durante el inicio de sesión para adquirir access_token(s) específicamente concedidos para administrar recursos particulares. Esto nos permite obtener acceso a esas APIs protegidas.
Resumen
Hemos proporcionado las implementaciones de métodos esenciales para el proceso de autenticación y autorización del usuario de la aplicación del lado cliente. Dependiendo de tu escenario específico, puedes organizar y optimizar la lógica del SDK en consecuencia. Ten en cuenta que pueden existir variaciones debido a diferentes plataformas y marcos de trabajo.
Para obtener detalles adicionales, explora los paquetes de SDK ofrecidos por Logto. Alentamos a más usuarios a unirse al desarrollo y participar en discusiones con nosotros. Sus comentarios y contribuciones son altamente valorados ya que continuamos mejorando y ampliando las capacidades del SDK.
Apéndice
Scopes reservados
Scopes de Logto reservados que necesitarás pasar durante la petición de autenticación inicial. Esos scopes son ya sea OIDC-reservados o Logto-reservados scopes fundamentales para completar un flujo de autorización exitoso.
| Nombre del Scope | Descripción |
|---|---|
| openid | Requerido para conceder id_token después de una autenticación exitosa. |
| offline-access | Requerido para conceder un refresh_token que permite a tu aplicación cliente intercambiar y renovar un access_token fuera de la pantalla. |
| profile | Requerido para obtener acceso a la información básica del usuario. |
Configuración de Logto
| Nombre de la Propiedad | Tipo | Obligatorio | Descripción | Valor Predeterminado |
|---|---|---|---|---|
| appId | string | true | El identificador de aplicación único. Generado por el servidor de autorización para identificar la aplicación cliente. | |
| appSecret | string | El secreto de la aplicación se utiliza, junto con el ID de la aplicación, para verificar la identidad del solicitante. Se requiere para clientes confidenciales como aplicaciones web de Go o Next.js, y es opcional para clientes públicos como aplicaciones nativas o de página única (SPAs) | ||
| endpoint | string | true | El punto final raíz de tu servidor de autorización. Esta propiedad será utilizada ampliamente para generar peticiones de autorización. | |
| scopes | lista de strings | Indica todos los scopes de recurso necesarios que el usuario puede necesitar ser concedido para acceder a cualquier recurso protegido dado. | [reservedScopes] | |
| resources | lista de strings | Todos los indicadores de recurso protegido que el usuario puede solicitar para acceder. |