Vaikka Logto tarjoaa verkkopohjaisen konsolin identiteettien hallintaan, Management API:n käyttäminen on tehokas vaihtoehto, kun haluat automatisoida työnkulkusi tai käyttää Logtoa ohjelmallisesti. Tämä opas opastaa sinut vaihe vaiheelta käyttämään Logto Management API:a eri tilanteissa. ## Yleiskatsaus Saatat huomata, että Logto Console:ssa on sisäänrakennettu API-resurssi "Logto Management API". Se tulee olemaan keskeisessä roolissa tässä oppaassa. Verrattuna muihin API-resursseihin, tällä hetkellä Logto Management API ei salli suoraa pääsyä loppukäyttäjiltä, koska se on suunniteltu kone-väliseen viestintään, ja se on niin tehokas, että sitä voidaan käyttää Logto-tilin ja resurssien hallintaan. Tässä on joitakin tyypillisiä tilanteita, joissa saatat haluta käyttää Logto Management API:a: **CI/CD** ```mermaid graph LR CI(Jatkuva integrointitehtävä) <-->|Luo uusi käyttäjä| L(Logto Management API) ``` **Palveluviestintä** ```mermaid graph LR B(Taustapalvelu) <-->|Hae käyttäjiä| L(Logto Management API) ``` **Yksisivuinen sovellus** ```mermaid graph LR F(Käyttöliittymä) -->|1 Listaa tilaukset| B(Taustapalvelu) B <-->|2 Etsi tilaukset| D(Tietokanta) B <-->|3 Hae käyttäjät, jotka liittyvät tilauksiin| L(Logto Management API) B -->|4 Yhdistetty vastaus| F ``` **Verkkopalvelin, joka renderöi HTML:ää** ```mermaid graph LR W(Verkkopalvelin) <-->|Hae käyttäjiä| L(Logto Management API) ``` ## Arkkitehtuuri Riippumatta tilanteista, on kaksi mallia, joita voit käyttää Logto Management API:hin pääsyyn. **Malli 1: Suora pääsy** Tässä mallissa asiakkaasi tai palvelusi käyttää suoraan Logto Management API:a. Logtossa asiakasta tai palvelua kutsutaan "kone-väliseksi" sovellukseksi. Esimerkki takaosapalvelun käytöstä: ```mermaid graph LR B(Takaosapalvelu) <-->|Asiakastunnukset käyttäen| L(Logto Management API) ``` **Malli 2: Epäsuora pääsy** Tässä mallissa asiakkaasi tai palvelusi käyttää Logto Management API:a taustapalvelun kautta. Malli 2 rakentuu mallin 1 päälle, jossa on mukana toinen sovellus. Uusi sovellus voi olla perinteinen verkkosovellus, natiivi tai yksisivuinen sovellus, joka pääsee käsiksi taustapalveluun. Esimerkki yksisivuisen sovelluksen käytöstä: ```mermaid graph LR S(Yksisivuinen sovellus) -->|Pyyntö käyttöoikeustokenilla| B(Taustapalvelu) <-->|Asiakastunnuksia käyttäen| L(Logto Management API) B -->|Vastaus tiedoilla| S ``` Tämä malli on hyödyllinen, kun haluat luoda mukautettua logiikkaa hallitaksesi pääsyä Logto Management API:hin. Esimerkiksi, voit palata kaikki tilaukset kuluttajalle ja liittää myyjän tiedot jokaiseen tilaukseen. Tässä tapauksessa voit käyttää yksisivuista sovellusta pyytämään taustapalvelua saamaan tilaukset, ja takaosapalvelussa voit käyttää Logto Management API:a saadaksesi myyjän tiedot. ## Pääsy Logto Management API:hin ### Luo kone-välinen sovellus Ensiksi sinun täytyy luoda kone-välinen sovellus Logto Console:ssa. Mene "Sovellukset"-välilehteen ja klikkaa "Luo sovellus"-painiketta. Sitten klikkaa "Aloita rakentaminen" "Kone-välinen"-kortissa. ### Määritä kone-välinen rooli Päästäksesi Logto Management API:hin, sinun tulee luoda kone-välinen rooli tarvittavilla oikeuksilla. Logto Console:ssa, mene "Roolit"-välilehteen ja klikkaa "Luo rooli"-painiketta. Klikkaa "Näytä lisää vaihtoehtoja" ja valitse "Kone-välinen sovellusrooli" "Roolityyppi"-kohdassa. Nyt voit nähdä "Logto Management API" näkyvissä "Assign permissions"-osassa. Ruksaa API-resurssi kaikista oikeuksista ja klikkaa "Luo rooli"-painiketta. Kun rooli on luotu, voit antaa sen kone-väliselle sovellukselle, jonka loit aikaisemmassa vaiheessa. Tällä hetkellä Logto Management API:lla on vain yksi oikeus all, joka sallii kaikki toiminnot. Työskentelemme lisätäksesi yksityiskohtaisempia oikeuksia. ### Hanki käyttöoikeustoken Voit seurata vaiheita [tässä artikkelissa](https://docs.logto.io/docs/recipes/integrate-logto/machine-to-machine/) saadaksesi käyttöoikeustokenin asiakastunnusmyöntämisellä kone-väliselle sovelluksellesi. Testaa käyttöoikeustoken lähettämällä pyyntö Logto Management API:n päätepisteeseen. Nyt olet valmis malliin 1. Huomaa, että käyttöoikeustoken on voimassa lyhyen aikaa, joten saatat haluta päivittää sitä säännöllisesti, jos haluat tallentaa sen välimuistiin. ## Lisää toinen kerros Vaikka Logto Management API:n käyttö ei ole sallittua loppukäyttäjille, voit lisätä toisen kerroksen hyödyntämään Logto Management API:n voimaa ja antaa sen vahvistaa palveluasi. Esimerkiksi, rakennat verkkoyhteisöä yksisivuisella sovelluksella ja taustapalvelulla. Saatat haluta ominaisuuden, joka sallii kirjautuneiden käyttäjien nähdä kymmenen käyttäjää, joilla on eniten seuraajia. Luodaan päätepiste `GET /api/top-users`: ```mermaid graph LR S(Yksisivuinen sovellus) --> E(GET /api/top-users) subgraph Taustapalvelu E end ``` Varmentaaksesi, että päätepiste on vain kirjautuneiden käyttäjien käytettävissä, voit luoda "yksisivuisen sovelluksen" Logto Console:ssa ja [integroida Logto SDK](https://docs.logto.io/docs/recipes/integrate-logto/) kyseiseen sovellukseen. Sitten voit käyttää SDK:ta saadaksesi käyttöoikeustokenin ja lähettää pyynnön päätepisteeseen: ```mermaid graph LR S(Yksisivuinen sovellus) -->|1 Pyyntö käyttöoikeustokenilla| E(GET /api/top-users) subgraph Taustapalvelu E end ``` Taustapalvelussa voit ensin kysyä kymmenen parasta käyttäjää tietokannasta ja sitten käyttää Logto Management API:a saadaksesi käyttäjän tiedot: ```mermaid graph LR E(GET /api/top-users) <-->|2 Kysy kymmenen parasta käyttäjää| D(Tietokanta) E <-->|3 Hanki käyttäjän tiedot tunnuksilla| L(Logto Management API) subgraph Taustapalvelu E end ``` Lopuksi, voit palauttaa vastauksen yksisivuiselle sovellukselle: ```mermaid graph LR E(GET /api/top-users) -->|4 Palauta yhdistetty vastaus| S(Yksisivuinen sovellus) subgraph Taustapalvelu E end ``` Täydellinen sekvenssikaavio: ```mermaid sequenceDiagram participant S as Yksisivuinen sovellus participant E as GET /api/top-users participant D as Tietokanta participant LM as Logto Management API participant L as Logto OIDC S ->> L: Käyttäjä kirjautuu sisään L ->> S: Kirjautuminen valmis S ->> L: Pyyntö käyttöoikeustokenista taustapalvelulle (valtuutuskoodin tai päivitystokenin avulla) L ->> S: Palauta käyttöoikeustoken S ->> E: Pyyntö käyttöoikeustokenilla E ->> E: Vahvista käyttöoikeustoken E ->> D: Kysy kymmenen parasta käyttäjää D ->> E: Palauta 10 parasta käyttäjää tunnuksilla E ->> L: Pyyntö käyttöoikeustokenista Logto Management API:lle (asiakastunnuksien avulla) L ->> E: Palauta käyttöoikeustoken E ->> LM: Hanki 10 parhaan käyttäjän tiedot LM ->> E: Palauta käyttäjien tiedot E ->> E: Yhdistä käyttäjien tiedot kymmeneen parhaaseen käyttäjään E ->> S: Palauta yhdistetty vastaus ``` Tässä prosessissa mukana on kahdenlaisia käyttöoikeuskoodeja: yksi taustapalvelulle pääsyyn Logto Management API:lle ja toinen yksisivuiselle sovellukselle pääsyyn taustapalvelulle. Ensimmäinen käyttöoikeustoken on se, jonka sait edellisessä osiossa. Toinen käyttöoikeustoken on se, jonka voit saada Logto SDK:sta. **Käyttöoikeustokenini yksisivuisessa sovelluksessa ei ole JSON Web Token (JWT)** Jos et määrittele resurssia kutsuessasi `getAccessToken`-metodia Logto SDK:ssa, käyttöoikeustoken on epäselvä merkkijono, joka on tarkoitettu käytettäväksi [userinfo-päätepisteessä](https://openid.net/specs/openid-connect-core-1_0.html#UserInfo). Saadaksesi JWT:n: 1. Määrittele API-resurssi Logto Console:ssa, esim. `https://api.example.com`. 2. Lisää API-resurssi Logto SDK:n `resources`-konfiguraatioon, esim. `resources: ['https://api.example.com']`. 3. Kutsu `getAccessToken`-metodia API-resurssilla, esim. `getAccessToken('https://api.example.com')`. JWT:n validointiin taustapalvelussasi, viittaa [Validoi API-pyynnön valtuutustoken](https://docs.logto.io/docs/recipes/protect-your-api/#validate-the-api-requests-authorization-token). **Mitä JWT yksisivuisessa sovelluksessa tarkoittaa?** JWT tarkoittaa vain, että käyttäjä on kirjautunut sisään ja yrittää käyttää API-resurssia. Se ei tarkoita, että käyttäjällä on API-resurssin erityisoikeuksia. Sinun päätettäväsi on, myönnätkö käyttäjälle oikeuden käyttää API-resurssia. Jos tarvitset yksityiskohtaisempaa pääsynhallintaa, voit myös soveltaa roolipohjaista pääsynhallintaa (RBAC) käyttäjään. Katso [🔐 Roolipohjainen pääsynhallinta (RBAC)](https://docs.logto.io/docs/recipes/rbac/) yksityiskohtia varten. ## Loppusanat Logto Management API on tehokas ja joustava monissa eri tilanteissa. Standardiprotokollien avulla voit helposti integroida Logto Management API:n sovellukseesi ja rakentaa turvallisen ja skaalautuvan järjestelmän. Jos sinulla on kysyttävää, ota rohkeasti yhteyttä. Kokeile Logto Cloudia ilmaiseksi