Käytä Logto Management API: Vaiheittainen opas

Vaikka Logto tarjoaa verkkopohjaisen konsolin identiteettien hallintaan, Management API:n käyttäminen on tehokas vaihtoehto, kun haluat automatisoida työnkulkusi tai käyttää Logtoa ohjelmallisesti. Tämä opas opastaa sinut vaihe vaiheelta käyttämään Logto Management API:a eri tilanteissa.

Yleiskatsaus#

Saatat huomata, että Logto Console:ssa on sisäänrakennettu API-resurssi "Logto Management API". Se tulee olemaan keskeisessä roolissa tässä oppaassa.

Verrattuna muihin API-resursseihin, tällä hetkellä Logto Management API ei salli suoraa pääsyä loppukäyttäjiltä, koska se on suunniteltu kone-väliseen viestintään, ja se on niin tehokas, että sitä voidaan käyttää Logto-tilin ja resurssien hallintaan.

Tässä on joitakin tyypillisiä tilanteita, joissa saatat haluta käyttää Logto Management API:a:

CI/CD

Palveluviestintä

Yksisivuinen sovellus

Verkkopalvelin, joka renderöi HTML:ää

Arkkitehtuuri#

Riippumatta tilanteista, on kaksi mallia, joita voit käyttää Logto Management API:hin pääsyyn.

Malli 1: Suora pääsy

Tässä mallissa asiakkaasi tai palvelusi käyttää suoraan Logto Management API:a. Logtossa asiakasta tai palvelua kutsutaan "kone-väliseksi" sovellukseksi.

Esimerkki takaosapalvelun käytöstä:

Malli 2: Epäsuora pääsy

Tässä mallissa asiakkaasi tai palvelusi käyttää Logto Management API:a taustapalvelun kautta. Malli 2 rakentuu mallin 1 päälle, jossa on mukana toinen sovellus. Uusi sovellus voi olla perinteinen verkkosovellus, natiivi tai yksisivuinen sovellus, joka pääsee käsiksi taustapalveluun.

Esimerkki yksisivuisen sovelluksen käytöstä:

Tämä malli on hyödyllinen, kun haluat luoda mukautettua logiikkaa hallitaksesi pääsyä Logto Management API:hin. Esimerkiksi, voit palata kaikki tilaukset kuluttajalle ja liittää myyjän tiedot jokaiseen tilaukseen. Tässä tapauksessa voit käyttää yksisivuista sovellusta pyytämään taustapalvelua saamaan tilaukset, ja takaosapalvelussa voit käyttää Logto Management API:a saadaksesi myyjän tiedot.

Pääsy Logto Management API:hin#

Luo kone-välinen sovellus#

Ensiksi sinun täytyy luoda kone-välinen sovellus Logto Console:ssa. Mene "Sovellukset"-välilehteen ja klikkaa "Luo sovellus"-painiketta. Sitten klikkaa "Aloita rakentaminen" "Kone-välinen"-kortissa.

Määritä kone-välinen rooli#

Päästäksesi Logto Management API:hin, sinun tulee luoda kone-välinen rooli tarvittavilla oikeuksilla. Logto Console:ssa, mene "Roolit"-välilehteen ja klikkaa "Luo rooli"-painiketta. Klikkaa "Näytä lisää vaihtoehtoja" ja valitse "Kone-välinen sovellusrooli" "Roolityyppi"-kohdassa.

Nyt voit nähdä "Logto Management API" näkyvissä "Assign permissions"-osassa. Ruksaa API-resurssi kaikista oikeuksista ja klikkaa "Luo rooli"-painiketta.

Kun rooli on luotu, voit antaa sen kone-väliselle sovellukselle, jonka loit aikaisemmassa vaiheessa.

Hanki käyttöoikeustoken#

Voit seurata vaiheita tässä artikkelissa saadaksesi käyttöoikeustokenin asiakastunnusmyöntämisellä kone-väliselle sovelluksellesi. Testaa käyttöoikeustoken lähettämällä pyyntö Logto Management API:n päätepisteeseen.

Nyt olet valmis malliin 1. Huomaa, että käyttöoikeustoken on voimassa lyhyen aikaa, joten saatat haluta päivittää sitä säännöllisesti, jos haluat tallentaa sen välimuistiin.

Lisää toinen kerros#

Vaikka Logto Management API:n käyttö ei ole sallittua loppukäyttäjille, voit lisätä toisen kerroksen hyödyntämään Logto Management API:n voimaa ja antaa sen vahvistaa palveluasi.

Esimerkiksi, rakennat verkkoyhteisöä yksisivuisella sovelluksella ja taustapalvelulla. Saatat haluta ominaisuuden, joka sallii kirjautuneiden käyttäjien nähdä kymmenen käyttäjää, joilla on eniten seuraajia. Luodaan päätepiste GET /api/top-users:

Varmentaaksesi, että päätepiste on vain kirjautuneiden käyttäjien käytettävissä, voit luoda "yksisivuisen sovelluksen" Logto Console:ssa ja integroida Logto SDK kyseiseen sovellukseen. Sitten voit käyttää SDK:ta saadaksesi käyttöoikeustokenin ja lähettää pyynnön päätepisteeseen:

Taustapalvelussa voit ensin kysyä kymmenen parasta käyttäjää tietokannasta ja sitten käyttää Logto Management API:a saadaksesi käyttäjän tiedot:

Lopuksi, voit palauttaa vastauksen yksisivuiselle sovellukselle:

Täydellinen sekvenssikaavio:

Tässä prosessissa mukana on kahdenlaisia käyttöoikeuskoodeja: yksi taustapalvelulle pääsyyn Logto Management API:lle ja toinen yksisivuiselle sovellukselle pääsyyn taustapalvelulle.

Ensimmäinen käyttöoikeustoken on se, jonka sait edellisessä osiossa. Toinen käyttöoikeustoken on se, jonka voit saada Logto SDK:sta.

Käyttöoikeustokenini yksisivuisessa sovelluksessa ei ole JSON Web Token (JWT)

Jos et määrittele resurssia kutsuessasi getAccessToken-metodia Logto SDK:ssa, käyttöoikeustoken on epäselvä merkkijono, joka on tarkoitettu käytettäväksi userinfo-päätepisteessä. Saadaksesi JWT:n:

1. Määrittele API-resurssi Logto Console:ssa, esim. https://api.example.com.
2. Lisää API-resurssi Logto SDK:n resources-konfiguraatioon, esim. resources: ['https://api.example.com'].
3. Kutsu getAccessToken-metodia API-resurssilla, esim. getAccessToken('https://api.example.com').

JWT:n validointiin taustapalvelussasi, viittaa Validoi API-pyynnön valtuutustoken.

Mitä JWT yksisivuisessa sovelluksessa tarkoittaa?

JWT tarkoittaa vain, että käyttäjä on kirjautunut sisään ja yrittää käyttää API-resurssia. Se ei tarkoita, että käyttäjällä on API-resurssin erityisoikeuksia. Sinun päätettäväsi on, myönnätkö käyttäjälle oikeuden käyttää API-resurssia.

Jos tarvitset yksityiskohtaisempaa pääsynhallintaa, voit myös soveltaa roolipohjaista pääsynhallintaa (RBAC) käyttäjään. Katso 🔐 Roolipohjainen pääsynhallinta (RBAC) yksityiskohtia varten.

Loppusanat#

Logto Management API on tehokas ja joustava monissa eri tilanteissa. Standardiprotokollien avulla voit helposti integroida Logto Management API:n sovellukseesi ja rakentaa turvallisen ja skaalautuvan järjestelmän. Jos sinulla on kysyttävää, ota rohkeasti yhteyttä.