Implémenter un SDK OIDC simple côté client
Logto propose une variété de SDK pour différentes plateformes. Outre nos SDK officiels, nous encourageons les développeurs de la communauté à créer leurs propres SDK conviviaux. Cet article vous guidera dans la création d'un SDK basique côté client pour OIDC.
Developer
Introduction
Logto offre à nos développeurs et groupes commerciaux une solution complète de gestion des identités et des accès des clients (CIAM). Nous proposons une large gamme de SDK prêts à l'emploi pour différentes plateformes et cadres d'application. Combiné à notre service cloud Logto, vous pouvez établir sans effort un flux d'autorisation d'utilisateur hautement sécurisé pour votre application en quelques minutes. En tant qu'entreprise née de la communauté des développeurs, Logto embrasse et valorise notre engagement communautaire. En plus de ces SDK officiellement développés par Logto, nous encourageons continuellement et accueillons chaleureusement les développeurs de la communauté à apporter leur expertise en créant des SDK plus diversifiés et conviviaux, répondant aux besoins uniques de diverses plateformes et cadres. Dans cet article, nous allons brièvement montrer comment implémenter un SDK d'authentification standard OIDC étape par étape.
Contexte
Le flux OpenID Connect (OIDC) est un protocole d'authentification qui s'appuie sur le cadre OAuth 2.0 pour fournir une vérification d'identité et des capacités de connexion unique. Il permet aux utilisateurs de s'authentifier eux-mêmes auprès d'une application et d'obtenir une autorisation pour un accès ultérieur à toute ressource privée de manière sécurisée. Veuillez vous référer aux spécifications OIDC pour plus de détails.
Workflow
Un flux de code d'autorisation standard comprend les étapes suivantes :
%3bfill:%23ECECFF%3b%7d%23mermaid-0 text.actor%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .actor-line%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3b%7d%23mermaid-0 .messageLine0%7bstroke-width:1.5%3bstroke-dasharray:none%3bstroke:%23333%3b%7d%23mermaid-0 .messageLine1%7bstroke-width:1.5%3bstroke-dasharray:2%2c2%3bstroke:%23333%3b%7d%23mermaid-0 %23arrowhead path%7bfill:%23333%3bstroke:%23333%3b%7d%23mermaid-0 .sequenceNumber%7bfill:white%3b%7d%23mermaid-0 %23sequencenumber%7bfill:%23333%3b%7d%23mermaid-0 %23crosshead path%7bfill:%23333%3bstroke:%23333%3b%7d%23mermaid-0 .messageText%7bfill:%23333%3bstroke:none%3b%7d%23mermaid-0 .labelBox%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3b%7d%23mermaid-0 .labelText%2c%23mermaid-0 .labelText%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .loopText%2c%23mermaid-0 .loopText%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .loopLine%7bstroke-width:2px%3bstroke-dasharray:2%2c2%3bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3b%7d%23mermaid-0 .note%7bstroke:%23aaaa33%3bfill:%23fff5ad%3b%7d%23mermaid-0 .noteText%2c%23mermaid-0 .noteText%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .activation0%7bfill:%23f4f4f4%3bstroke:%23666%3b%7d%23mermaid-0 .activation1%7bfill:%23f4f4f4%3bstroke:%23666%3b%7d%23mermaid-0 .activation2%7bfill:%23f4f4f4%3bstroke:%23666%3b%7d%23mermaid-0 .actorPopupMenu%7bposition:absolute%3b%7d%23mermaid-0 .actorPopupMenuPanel%7bposition:absolute%3bfill:%23ECECFF%3bbox-shadow:0px 8px 16px 0px rgba(0%2c0%2c0%2c0.2)%3bfilter:drop-shadow(3px 5px 2px rgb(0 0 0 / 0.4))%3b%7d%23mermaid-0 .actor-man line%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3b%7d%23mermaid-0 .actor-man circle%2c%23mermaid-0 line%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3bstroke-width:2px%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg/%3e%3cdefs%3e%3csymbol height='24' width='24' id='computer'%3e%3cpath d='M2 2v13h20v-13h-20zm18 11h-16v-9h16v9zm-10.228 6l.466-1h3.524l.467 1h-4.457zm14.228 3h-24l2-6h2.104l-1.33 4h18.45l-1.297-4h2.073l2 6zm-5-10h-14v-7h14v7z' transform='scale(.5)'/%3e%3c/symbol%3e%3c/defs%3e%3cdefs%3e%3csymbol clip-rule='evenodd' fill-rule='evenodd' id='database'%3e%3cpath d='M12.258.001l.256.004.255.005.253.008.251.01.249.012.247.015.246.016.242.019.241.02.239.023.236.024.233.027.231.028.229.031.225.032.223.034.22.036.217.038.214.04.211.041.208.043.205.045.201.046.198.048.194.05.191.051.187.053.183.054.18.056.175.057.172.059.168.06.163.061.16.063.155.064.15.066.074.033.073.033.071.034.07.034.069.035.068.035.067.035.066.035.064.036.064.036.062.036.06.036.06.037.058.037.058.037.055.038.055.038.053.038.052.038.051.039.05.039.048.039.047.039.045.04.044.04.043.04.041.04.04.041.039.041.037.041.036.041.034.041.033.042.032.042.03.042.029.042.027.042.026.043.024.043.023.043.021.043.02.043.018.044.017.043.015.044.013.044.012.044.011.045.009.044.007.045.006.045.004.045.002.045.001.045v17l-.001.045-.002.045-.004.045-.006.045-.007.045-.009.044-.011.045-.012.044-.013.044-.015.044-.017.043-.018.044-.02.043-.021.043-.023.043-.024.043-.026.043-.027.042-.029.042-.03.042-.032.042-.033.042-.034.041-.036.041-.037.041-.039.041-.04.041-.041.04-.043.04-.044.04-.045.04-.047.039-.048.039-.05.039-.051.039-.052.038-.053.038-.055.038-.055.038-.058.037-.058.037-.06.037-.06.036-.062.036-.064.036-.064.036-.066.035-.067.035-.068.035-.069.035-.07.034-.071.034-.073.033-.074.033-.15.066-.155.064-.16.063-.163.061-.168.06-.172.059-.175.057-.18.056-.183.054-.187.053-.191.051-.194.05-.198.048-.201.046-.205.045-.208.043-.211.041-.214.04-.217.038-.22.036-.223.034-.225.032-.229.031-.231.028-.233.027-.236.024-.239.023-.241.02-.242.019-.246.016-.247.015-.249.012-.251.01-.253.008-.255.005-.256.004-.258.001-.258-.001-.256-.004-.255-.005-.253-.008-.251-.01-.249-.012-.247-.015-.245-.016-.243-.019-.241-.02-.238-.023-.236-.024-.234-.027-.231-.028-.228-.031-.226-.032-.223-.034-.22-.036-.217-.038-.214-.04-.211-.041-.208-.043-.204-.045-.201-.046-.198-.048-.195-.05-.19-.051-.187-.053-.184-.054-.179-.056-.176-.057-.172-.059-.167-.06-.164-.061-.159-.063-.155-.064-.151-.066-.074-.033-.072-.033-.072-.034-.07-.034-.069-.035-.068-.035-.067-.035-.066-.035-.064-.036-.063-.036-.062-.036-.061-.036-.06-.037-.058-.037-.057-.037-.056-.038-.055-.038-.053-.038-.052-.038-.051-.039-.049-.039-.049-.039-.046-.039-.046-.04-.044-.04-.043-.04-.041-.04-.04-.041-.039-.041-.037-.041-.036-.041-.034-.041-.033-.042-.032-.042-.03-.042-.029-.042-.027-.042-.026-.043-.024-.043-.023-.043-.021-.043-.02-.043-.018-.044-.017-.043-.015-.044-.013-.044-.012-.044-.011-.045-.009-.044-.007-.045-.006-.045-.004-.045-.002-.045-.001-.045v-17l.001-.045.002-.045.004-.045.006-.045.007-.045.009-.044.011-.045.012-.044.013-.044.015-.044.017-.043.018-.044.02-.043.021-.043.023-.043.024-.043.026-.043.027-.042.029-.042.03-.042.032-.042.033-.042.034-.041.036-.041.037-.041.039-.041.04-.041.041-.04.043-.04.044-.04.046-.04.046-.039.049-.039.049-.039.051-.039.052-.038.053-.038.055-.038.056-.038.057-.037.058-.037.06-.037.061-.036.062-.036.063-.036.064-.036.066-.035.067-.035.068-.035.069-.035.07-.034.072-.034.072-.033.074-.033.151-.066.155-.064.159-.063.164-.061.167-.06.172-.059.176-.057.179-.056.184-.054.187-.053.19-.051.195-.05.198-.048.201-.046.204-.045.208-.043.211-.041.214-.04.217-.038.22-.036.223-.034.226-.032.228-.031.231-.028.234-.027.236-.024.238-.023.241-.02.243-.019.245-.016.247-.015.249-.012.251-.01.253-.008.255-.005.256-.004.258-.001.258.001zm-9.258 20.499v.01l.001.021.003.021.004.022.005.021.006.022.007.022.009.023.01.022.011.023.012.023.013.023.015.023.016.024.017.023.018.024.019.024.021.024.022.025.023.024.024.025.052.049.056.05.061.051.066.051.07.051.075.051.079.052.084.052.088.052.092.052.097.052.102.051.105.052.11.052.114.051.119.051.123.051.127.05.131.05.135.05.139.048.144.049.147.047.152.047.155.047.16.045.163.045.167.043.171.043.176.041.178.041.183.039.187.039.19.037.194.035.197.035.202.033.204.031.209.03.212.029.216.027.219.025.222.024.226.021.23.02.233.018.236.016.24.015.243.012.246.01.249.008.253.005.256.004.259.001.26-.001.257-.004.254-.005.25-.008.247-.011.244-.012.241-.014.237-.016.233-.018.231-.021.226-.021.224-.024.22-.026.216-.027.212-.028.21-.031.205-.031.202-.034.198-.034.194-.036.191-.037.187-.039.183-.04.179-.04.175-.042.172-.043.168-.044.163-.045.16-.046.155-.046.152-.047.148-.048.143-.049.139-.049.136-.05.131-.05.126-.05.123-.051.118-.052.114-.051.11-.052.106-.052.101-.052.096-.052.092-.052.088-.053.083-.051.079-.052.074-.052.07-.051.065-.051.06-.051.056-.05.051-.05.023-.024.023-.025.021-.024.02-.024.019-.024.018-.024.017-.024.015-.023.014-.024.013-.023.012-.023.01-.023.01-.022.008-.022.006-.022.006-.022.004-.022.004-.021.001-.021.001-.021v-4.127l-.077.055-.08.053-.083.054-.085.053-.087.052-.09.052-.093.051-.095.05-.097.05-.1.049-.102.049-.105.048-.106.047-.109.047-.111.046-.114.045-.115.045-.118.044-.12.043-.122.042-.124.042-.126.041-.128.04-.13.04-.132.038-.134.038-.135.037-.138.037-.139.035-.142.035-.143.034-.144.033-.147.032-.148.031-.15.03-.151.03-.153.029-.154.027-.156.027-.158.026-.159.025-.161.024-.162.023-.163.022-.165.021-.166.02-.167.019-.169.018-.169.017-.171.016-.173.015-.173.014-.175.013-.175.012-.177.011-.178.01-.179.008-.179.008-.181.006-.182.005-.182.004-.184.003-.184.002h-.37l-.184-.002-.184-.003-.182-.004-.182-.005-.181-.006-.179-.008-.179-.008-.178-.01-.176-.011-.176-.012-.175-.013-.173-.014-.172-.015-.171-.016-.17-.017-.169-.018-.167-.019-.166-.02-.165-.021-.163-.022-.162-.023-.161-.024-.159-.025-.157-.026-.156-.027-.155-.027-.153-.029-.151-.03-.15-.03-.148-.031-.146-.032-.145-.033-.143-.034-.141-.035-.14-.035-.137-.037-.136-.037-.134-.038-.132-.038-.13-.04-.128-.04-.126-.041-.124-.042-.122-.042-.12-.044-.117-.043-.116-.045-.113-.045-.112-.046-.109-.047-.106-.047-.105-.048-.102-.049-.1-.049-.097-.05-.095-.05-.093-.052-.09-.051-.087-.052-.085-.053-.083-.054-.08-.054-.077-.054v4.127zm0-5.654v.011l.001.021.003.021.004.021.005.022.006.022.007.022.009.022.01.022.011.023.012.023.013.023.015.024.016.023.017.024.018.024.019.024.021.024.022.024.023.025.024.024.052.05.056.05.061.05.066.051.07.051.075.052.079.051.084.052.088.052.092.052.097.052.102.052.105.052.11.051.114.051.119.052.123.05.127.051.131.05.135.049.139.049.144.048.147.048.152.047.155.046.16.045.163.045.167.044.171.042.176.042.178.04.183.04.187.038.19.037.194.036.197.034.202.033.204.032.209.03.212.028.216.027.219.025.222.024.226.022.23.02.233.018.236.016.24.014.243.012.246.01.249.008.253.006.256.003.259.001.26-.001.257-.003.254-.006.25-.008.247-.01.244-.012.241-.015.237-.016.233-.018.231-.02.226-.022.224-.024.22-.025.216-.027.212-.029.21-.03.205-.032.202-.033.198-.035.194-.036.191-.037.187-.039.183-.039.179-.041.175-.042.172-.043.168-.044.163-.045.16-.045.155-.047.152-.047.148-.048.143-.048.139-.05.136-.049.131-.05.126-.051.123-.051.118-.051.114-.052.11-.052.106-.052.101-.052.096-.052.092-.052.088-.052.083-.052.079-.052.074-.051.07-.052.065-.051.06-.05.056-.051.051-.049.023-.025.023-.024.021-.025.02-.024.019-.024.018-.024.017-.024.015-.023.014-.023.013-.024.012-.022.01-.023.01-.023.008-.022.006-.022.006-.022.004-.021.004-.022.001-.021.001-.021v-4.139l-.077.054-.08.054-.083.054-.085.052-.087.053-.09.051-.093.051-.095.051-.097.05-.1.049-.102.049-.105.048-.106.047-.109.047-.111.046-.114.045-.115.044-.118.044-.12.044-.122.042-.124.042-.126.041-.128.04-.13.039-.132.039-.134.038-.135.037-.138.036-.139.036-.142.035-.143.033-.144.033-.147.033-.148.031-.15.03-.151.03-.153.028-.154.028-.156.027-.158.026-.159.025-.161.024-.162.023-.163.022-.165.021-.166.02-.167.019-.169.018-.169.017-.171.016-.173.015-.173.014-.175.013-.175.012-.177.011-.178.009-.179.009-.179.007-.181.007-.182.005-.182.004-.184.003-.184.002h-.37l-.184-.002-.184-.003-.182-.004-.182-.005-.181-.007-.179-.007-.179-.009-.178-.009-.176-.011-.176-.012-.175-.013-.173-.014-.172-.015-.171-.016-.17-.017-.169-.018-.167-.019-.166-.02-.165-.021-.163-.022-.162-.023-.161-.024-.159-.025-.157-.026-.156-.027-.155-.028-.153-.028-.151-.03-.15-.03-.148-.031-.146-.033-.145-.033-.143-.033-.141-.035-.14-.036-.137-.036-.136-.037-.134-.038-.132-.039-.13-.039-.128-.04-.126-.041-.124-.042-.122-.043-.12-.043-.117-.044-.116-.044-.113-.046-.112-.046-.109-.046-.106-.047-.105-.048-.102-.049-.1-.049-.097-.05-.095-.051-.093-.051-.09-.051-.087-.053-.085-.052-.083-.054-.08-.054-.077-.054v4.139zm0-5.666v.011l.001.02.003.022.004.021.005.022.006.021.007.022.009.023.01.022.011.023.012.023.013.023.015.023.016.024.017.024.018.023.019.024.021.025.022.024.023.024.024.025.052.05.056.05.061.05.066.051.07.051.075.052.079.051.084.052.088.052.092.052.097.052.102.052.105.051.11.052.114.051.119.051.123.051.127.05.131.05.135.05.139.049.144.048.147.048.152.047.155.046.16.045.163.045.167.043.171.043.176.042.178.04.183.04.187.038.19.037.194.036.197.034.202.033.204.032.209.03.212.028.216.027.219.025.222.024.226.021.23.02.233.018.236.017.24.014.243.012.246.01.249.008.253.006.256.003.259.001.26-.001.257-.003.254-.006.25-.008.247-.01.244-.013.241-.014.237-.016.233-.018.231-.02.226-.022.224-.024.22-.025.216-.027.212-.029.21-.03.205-.032.202-.033.198-.035.194-.036.191-.037.187-.039.183-.039.179-.041.175-.042.172-.043.168-.044.163-.045.16-.045.155-.047.152-.047.148-.048.143-.049.139-.049.136-.049.131-.051.126-.05.123-.051.118-.052.114-.051.11-.052.106-.052.101-.052.096-.052.092-.052.088-.052.083-.052.079-.052.074-.052.07-.051.065-.051.06-.051.056-.05.051-.049.023-.025.023-.025.021-.024.02-.024.019-.024.018-.024.017-.024.015-.023.014-.024.013-.023.012-.023.01-.022.01-.023.008-.022.006-.022.006-.022.004-.022.004-.021.001-.021.001-.021v-4.153l-.077.054-.08.054-.083.053-.085.053-.087.053-.09.051-.093.051-.095.051-.097.05-.1.049-.102.048-.105.048-.106.048-.109.046-.111.046-.114.046-.115.044-.118.044-.12.043-.122.043-.124.042-.126.041-.128.04-.13.039-.132.039-.134.038-.135.037-.138.036-.139.036-.142.034-.143.034-.144.033-.147.032-.148.032-.15.03-.151.03-.153.028-.154.028-.156.027-.158.026-.159.024-.161.024-.162.023-.163.023-.165.021-.166.02-.167.019-.169.018-.169.017-.171.016-.173.015-.173.014-.175.013-.175.012-.177.01-.178.01-.179.009-.179.007-.181.006-.182.006-.182.004-.184.003-.184.001-.185.001-.185-.001-.184-.001-.184-.003-.182-.004-.182-.006-.181-.006-.179-.007-.179-.009-.178-.01-.176-.01-.176-.012-.175-.013-.173-.014-.172-.015-.171-.016-.17-.017-.169-.018-.167-.019-.166-.02-.165-.021-.163-.023-.162-.023-.161-.024-.159-.024-.157-.026-.156-.027-.155-.028-.153-.028-.151-.03-.15-.03-.148-.032-.146-.032-.145-.033-.143-.034-.141-.034-.14-.036-.137-.036-.136-.037-.134-.038-.132-.039-.13-.039-.128-.041-.126-.041-.124-.041-.122-.043-.12-.043-.117-.044-.116-.044-.113-.046-.112-.046-.109-.046-.106-.048-.105-.048-.102-.048-.1-.05-.097-.049-.095-.051-.093-.051-.09-.052-.087-.052-.085-.053-.083-.053-.08-.054-.077-.054v4.153zm8.74-8.179l-.257.004-.254.005-.25.008-.247.011-.244.012-.241.014-.237.016-.233.018-.231.021-.226.022-.224.023-.22.026-.216.027-.212.028-.21.031-.205.032-.202.033-.198.034-.194.036-.191.038-.187.038-.183.04-.179.041-.175.042-.172.043-.168.043-.163.045-.16.046-.155.046-.152.048-.148.048-.143.048-.139.049-.136.05-.131.05-.126.051-.123.051-.118.051-.114.052-.11.052-.106.052-.101.052-.096.052-.092.052-.088.052-.083.052-.079.052-.074.051-.07.052-.065.051-.06.05-.056.05-.051.05-.023.025-.023.024-.021.024-.02.025-.019.024-.018.024-.017.023-.015.024-.014.023-.013.023-.012.023-.01.023-.01.022-.008.022-.006.023-.006.021-.004.022-.004.021-.001.021-.001.021.001.021.001.021.004.021.004.022.006.021.006.023.008.022.01.022.01.023.012.023.013.023.014.023.015.024.017.023.018.024.019.024.02.025.021.024.023.024.023.025.051.05.056.05.06.05.065.051.07.052.074.051.079.052.083.052.088.052.092.052.096.052.101.052.106.052.11.052.114.052.118.051.123.051.126.051.131.05.136.05.139.049.143.048.148.048.152.048.155.046.16.046.163.045.168.043.172.043.175.042.179.041.183.04.187.038.191.038.194.036.198.034.202.033.205.032.21.031.212.028.216.027.22.026.224.023.226.022.231.021.233.018.237.016.241.014.244.012.247.011.25.008.254.005.257.004.26.001.26-.001.257-.004.254-.005.25-.008.247-.011.244-.012.241-.014.237-.016.233-.018.231-.021.226-.022.224-.023.22-.026.216-.027.212-.028.21-.031.205-.032.202-.033.198-.034.194-.036.191-.038.187-.038.183-.04.179-.041.175-.042.172-.043.168-.043.163-.045.16-.046.155-.046.152-.048.148-.048.143-.048.139-.049.136-.05.131-.05.126-.051.123-.051.118-.051.114-.052.11-.052.106-.052.101-.052.096-.052.092-.052.088-.052.083-.052.079-.052.074-.051.07-.052.065-.051.06-.05.056-.05.051-.05.023-.025.023-.024.021-.024.02-.025.019-.024.018-.024.017-.023.015-.024.014-.023.013-.023.012-.023.01-.023.01-.022.008-.022.006-.023.006-.021.004-.022.004-.021.001-.021.001-.021-.001-.021-.001-.021-.004-.021-.004-.022-.006-.021-.006-.023-.008-.022-.01-.022-.01-.023-.012-.023-.013-.023-.014-.023-.015-.024-.017-.023-.018-.024-.019-.024-.02-.025-.021-.024-.023-.024-.023-.025-.051-.05-.056-.05-.06-.05-.065-.051-.07-.052-.074-.051-.079-.052-.083-.052-.088-.052-.092-.052-.096-.052-.101-.052-.106-.052-.11-.052-.114-.052-.118-.051-.123-.051-.126-.051-.131-.05-.136-.05-.139-.049-.143-.048-.148-.048-.152-.048-.155-.046-.16-.046-.163-.045-.168-.043-.172-.043-.175-.042-.179-.041-.183-.04-.187-.038-.191-.038-.194-.036-.198-.034-.202-.033-.205-.032-.21-.031-.212-.028-.216-.027-.22-.026-.224-.023-.226-.022-.231-.021-.233-.018-.237-.016-.241-.014-.244-.012-.247-.011-.25-.008-.254-.005-.257-.004-.26-.001-.26.001z' transform='scale(.5)'/%3e%3c/symbol%3e%3c/defs%3e%3cdefs%3e%3csymbol height='24' width='24' id='clock'%3e%3cpath d='M12 2c5.514 0 10 4.486 10 10s-4.486 10-10 10-10-4.486-10-10 4.486-10 10-10zm0-2c-6.627 0-12 5.373-12 12s5.373 12 12 12 12-5.373 12-12-5.373-12-12-12zm5.848 12.459c.202.038.202.333.001.372-1.907.361-6.045 1.111-6.547 1.111-.719 0-1.301-.582-1.301-1.301 0-.512.77-5.447 1.125-7.445.034-.192.312-.181.343.014l.985 6.238 5.394 1.011z' transform='scale(.5)'/%3e%3c/symbol%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto-start-reverse' markerHeight='12' markerWidth='12' markerUnits='userSpaceOnUse' refY='5' refX='7.9' id='arrowhead'%3e%3cpath d='M -1 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker refY='4.5' refX='4' orient='auto' markerHeight='8' markerWidth='15' id='crosshead'%3e%3cpath style='stroke-dasharray: 0%2c 0%3b' d='M 1%2c2 L 6%2c7 M 6%2c2 L 1%2c7' stroke-width='1pt' stroke='black' fill='none'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='28' markerWidth='20' refY='7' refX='15.5' id='filled-head'%3e%3cpath d='M 18%2c7 L9%2c13 L14%2c7 L9%2c1 Z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='40' markerWidth='60' refY='15' refX='15' id='sequencenumber'%3e%3ccircle r='6' cy='15' cx='15'/%3e%3c/marker%3e%3c/defs%3e%3cg name='user' class='actor-man actor-top'%3e%3cline y2='45' x2='75' y1='25' x1='75' id='actor-man-torso0'/%3e%3cline y2='33' x2='93' y1='33' x1='57' id='actor-man-arms0'/%3e%3cline y2='45' x2='75' y1='60' x1='57'/%3e%3cline y2='60' x2='91' y1='45' x1='75'/%3e%3ccircle height='65' width='150' r='15' cy='10' cx='75'/%3e%3ctext style='text-anchor: middle%3b font-size: 16px%3b font-weight: 400%3b font-family: arial%2c sans-serif%3b' class='actor actor-man' alignment-baseline='central' dominant-baseline='central' y='67.5' x='75'%3e%3ctspan dy='0' x='75'%3eUtilisateur final%3c/tspan%3e%3c/text%3e%3c/g%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='80' x='215'%3evisiteur anonyme se connecte%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='109' x2='353' y1='109' x1='76'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='124' x='643'%3eenvoyer la demande d'authentification%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='153' x2='927' y1='153' x1='358'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='168' x='505'%3erediriger vers la page de connexion de l'utilisateur%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='197' x2='79' y1='197' x1='930'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='212' x='502'%3ese connecter avec les identifiants%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='241' x2='927' y1='241' x1='76'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='256' x='646'%3erediriger de nouveau vers l'application client avec le code d'autorisation%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='285' x2='361' y1='285' x1='930'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='300' x='643'%3edemande d'%c3%a9change de jetons avec le code d'autorisation%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='329' x2='927' y1='329' x1='358'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='344' x='646'%3eaccorder id_token%2c access_token et refresh_token%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='375' x2='361' y1='375' x1='930'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='390' x='218'%3eauthentifi%c3%a9%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='419' x2='79' y1='419' x1='356'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='434' x='752'%3edemande d'API priv%c3%a9e avec access_token%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='465' x2='1146.5' y1='465' x1='358'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='480' x='1041'%3esync signing key%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' stroke='none' stroke-width='2' class='messageLine1' y2='509' x2='932' y1='509' x1='1149.5'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='524' x='1152'%3evalidation du jeton%3c/text%3e%3cpath style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' d='M 1151.5%2c553 C 1211.5%2c543 1211.5%2c583 1151.5%2c573'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='598' x='755'%3e200 OK%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='627' x2='361' y1='627' x1='1149.5'/%3e%3cg name='user' class='actor-man actor-bottom'%3e%3cline y2='692' x2='75' y1='672' x1='75' id='actor-man-torso3'/%3e%3cline y2='680' x2='93' y1='680' x1='57' id='actor-man-arms3'/%3e%3cline y2='692' x2='75' y1='707' x1='57'/%3e%3cline y2='707' x2='91' y1='692' x1='75'/%3e%3ccircle height='65' width='150' r='15' cy='657' cx='75'/%3e%3ctext style='text-anchor: middle%3b font-size: 16px%3b font-weight: 400%3b font-family: arial%2c sans-serif%3b' class='actor actor-man' alignment-baseline='central' dominant-baseline='central' y='714.5' x='75'%3e%3ctspan dy='0' x='75'%3eUtilisateur final%3c/tspan%3e%3c/text%3e%3c/g%3e%3c/svg%3e)
Flow d'authentification
- L'utilisateur déclenche la demande de connexion : Un utilisateur anonyme arrive sur votre application depuis une entrée publique. Il tente de s'authentifier et peut-être de demander l'accès à une ressource protégée sur une application ou un service tiers.
- Authentification de l'utilisateur : L'application cliente génère un URI d'authentification et envoie une demande au serveur d'autorisation, qui redirige l'utilisateur vers sa page de connexion. L'utilisateur interagit avec la page de connexion en utilisant un large éventail de méthodes de connexion et est authentifié par le serveur d'autorisation.
- Gérer la redirection de connexion : Suite à une authentification réussie, l'utilisateur sera redirigé vers votre application avec un
code d'autorisationaccordé. Cecode d'autorisationcontient toutes les permissions pertinentes liées au statut d'authentification et aux données d'autorisation demandées. - Echange de jetons : Demande d'échange de jetons en utilisant le
code d'autorisationextrait de l'adresse de redirection ci-dessus. En retour :id_token: Un JWT signé numériquement qui contient des informations d'identité sur l'utilisateur authentifié.access_token: Unaccess_tokenopaque qui peut être utilisé pour accéder au point de terminaison des informations de base de l'utilisateur.refresh_token: Jeton d'identification permettant à l'utilisateur de maintenir un échange continu pour unaccess_token
Flux d'autorisation
- Accès aux informations de l'utilisateur : Pour accéder à plus d'informations sur l'utilisateur, l'application peut faire des requêtes supplémentaires au point de terminaison UserInfo, en utilisant l'
access_tokenopaque obtenu à partir du flux initial d'échange de jetons. Cela permet de récupérer des détails supplémentaires sur l'utilisateur, tels que son adresse électronique ou sa photo de profil. - Octroi d'accès à la ressource protégée : Si nécessaire, l'application peut faire des requêtes supplémentaires au point de terminaison d'échange de jetons, en utilisant le
refresh_tokencombiné avec les paramètresresourceetscope, pour obtenir unaccess_tokendédié pour que l'utilisateur accède à la ressource cible. Ce processus aboutit à l'émission d'unaccess_tokenau format JWT contenant toutes les informations d'autorisation nécessaires pour accéder à la ressource protégée.
Implémentation
Nous allons suivre certaines stratégies de conception au sein de notre SDK JavaScript @logto/client pour démontrer le processus d'implémentation d'un SDK simple pour votre propre application client. Notez que la structure de code détaillée peut varier en fonction du cadre client avec lequel vous travaillez. N'hésitez pas à choisir l'un des SDK officiels de Logto comme exemple pour votre propre projet de SDK.
Aperçu
Constructeur
Le constructeur doit prendre un logtoConfig en entrée. Cela fournit toutes les configurations nécessaires dont vous aurez besoin pour établir une connexion d'authentification à travers ce SDK.
En fonction de la plateforme ou du cadre que vous utilisez pour le SDK, vous pouvez passer une instance de stockage local persistante au constructeur. Cette instance de stockage sera utilisée pour stocker tous les jetons et secrets d'autorisation.
Init de l'authentification utilisateur
Avant de générer un URL de demande d'authentification, il est essentiel de compléter plusieurs étapes de préparation pour garantir un processus sécurisé.
Obtention des configurations OIDC du serveur d'autorisation
Définissez une méthode privée getOidcConfigs pour récupérer les configurations OIDC du point de terminaison de la découverte du serveur d'autorisation. La réponse aux configurations OIDC contient toutes les informations de métadonnées que le client peut utiliser pour interagir avec le serveur d'autorisation, y compris les emplacements de ses points de terminaison et les capacités du serveur. (Veuillez vous référer à OAuth OAuth Authorization Server Metadata Specs pour plus de détails.)
Générateur PKCE
Un PKCE(Proof Key for Code Exchange) flux de validation est essentiel pour tous les flux publics d'échange de code d'autorisation. Il atténue le risque d'attaque d'interception du code d'autorisation. Ainsi, un code_challenge et code_verifier est nécessaire pour toutes les demandes d'autorisation des applications client publics (par exemple, application native et SPA).
Les méthodes d'implémentation peuvent varier en fonction des langages et des cadres que vous utilisez. Veuillez vous référer à la spécification code_challenge et code_verifier pour les définitions détaillées.
Générer le paramètre d'état
Dans le flux d'autorisation, le paramètre d'état est une valeur générée aléatoirement qui est incluse dans la demande d'autorisation envoyée par le client. Il agit comme une mesure de sécurité pour prévenir les attaques par requête forgée intersites (CSRF).
Stocker les infos de session intermédiaire
Il y a plusieurs paramètres qui doivent être préservés dans le stockage pour la validation après que l'utilisateur s'est authentifié et a été redirigé vers le côté client. Nous allons implémenter une méthode pour mettre ces paramètres intermédiaires dans le stockage.
Sign-in
Enfin, prenons tout ce que nous avons implémenté ci-dessus, définissons une méthode générant une URL de connexion de l'utilisateur et redirigeons l'utilisateur vers le serveur d'autorisation pour qu'il s'authentifie.
Gérer le callback de connexion de l'utilisateur
Dans la section précédente, nous avons créé une méthode de connexion qui génère une URL pour l'authentification de l'utilisateur. Cette URL contient tous les paramètres nécessaires pour initier un flux d'authentification à partir d'une application client. La méthode redirige l'utilisateur vers la page de connexion du serveur d'autorisation pour l'authentification. Après une connexion réussie, l'utilisateur final sera redirigé vers l'emplacement redirect_uri fourni ci-dessus. Tous les paramètres nécessaires seront transportés dans l'URI de redirection pour compléter les flux d'échange de jetons suivants.
Extraire et vérifier l'URL du callback
Cette étape de validation est extrêmement importante pour prévenir toute forme d'attaques de faux callbacks d'autorisation. L'URL de callback DOIT être soigneusement vérifiée avant d'envoyer une demande d'échange de code supplémentaire au serveur d'autorisation. Tout d'abord, nous devons récupérer les données de la session de connexion que nous avons stockées dans le stockage de l'application.
Ensuite, vérifiez les paramètres de l'URL du callback avant d'envoyer la demande d'échange de jeton.
- Utilisez le
redirectUriprécédemment stocké pour vérifier si lecallbackUriest le même que celui que nous avons envoyé au serveur d'autorisation. - Utilisez le
stateprécédemment stocké pour vérifier si l'état renvoyé est le même que celui que nous avons envoyé au serveur d'autorisation. - Vérifiez si une erreur est renvoyée par le serveur d'autorisation
- Vérifiez l'existence du
code d'autorisationrenvoyé
Envoyer la demande d'échange de code
En tant que dernière étape du flux d'authentification de l'utilisateur, nous utiliserons le code d'autorisation pour envoyer une demande d'échange de jetons et obtenir les jetons d'autorisation nécessaires. Pour plus de détails sur les définitions des paramètres de la demande, veuillez vous référer à la spécification d'échange de jetons token exchange specification.
- code : le
code d'autorisationque nous avons reçu de l'URI de callback - clientId : l'ID de l'application
- redirectUri : La même valeur est utilisée lors de la génération de l'URL de connexion pour l'utilisateur.
- codeVerifier : vérificateur de code PKCE. De la même manière que le redirectUri, le serveur d'autorisation comparera cette valeur à celle que nous avions précédemment envoyée, assurant la validation de la demande d'échange de jetons entrante.
Gérer le callback de connexion
Faisons le point sur tout ce que nous avons. Construisons la méthode de gestion du callback de connexion :
En conséquence, la demande d'échange de jetons renverra les jetons suivants :
id_token: idToken OIDC, un Jeton Web JSON (JWT) qui contient des informations d'identité sur l'utilisateur authentifié. L'id_token peut également être utilisé comme Source Unique de Vérité(SSOT) du statut d'authentification d'un utilisateur.access_token: Le code d'autorisation par défaut renvoyé par le serveur d'autorisation. Peut être utilisé pour appeler le point de terminaison des informations de l'utilisateur et récupérer les informations de l'utilisateur authentifié.refresh_token: (si la portée offline_access est présente dans la demande d'autorisation) : Ce jeton de rafraîchissement permet à l'application client d'obtenir un nouvel access_token sans que l'utilisateur ait besoin de se ré-authentifier, accordant un accès à plus long terme aux ressources.expires_in: La durée en secondes pendant laquelle l'access_token est valide avant son expiration.
Vérification du jeton d'identification
La vérification et l'extraction des claims du id_token sont une étape cruciale du processus d'authentification pour garantir l'authenticité et l'intégrité du jeton. Voici les étapes clés impliquées dans la vérification d'un idToken.
- Vérification de la signature : Le
id_tokenest numériquement signé par le serveur d'autorisation en utilisant sa clé privée. L'application client doit valider la signature en utilisant la clé publique du serveur d'autorisation. Ceci assure que le jeton n'a pas été altéré et a bien été émis par le serveur d'autorisation légitime. - Vérification de l'émetteur**:** Vérifiez que la claim "iss" (issuer) dans le
id_tokencorrespond à la valeur attendue, indiquant que le jeton a été émis par le bon serveur d'autorisation. - Vérification de l'audience : Assurez-vous que la claim "aud" (audience) dans le
id_tokencorrespond à l'ID du client de l'application client, assurant que le jeton est destiné au client. - Vérification de l'expiration : Vérifiez que la claim "iat" (emis à) dans le
id_tokenn'a pas dépassé l'heure actuelle, assurant que le jeton est toujours valide. Comme il y a des coûts de transaction de réseau, nous devons définir une tolérance de temps émis lors de la validation de la claim iat du jeton reçu.
Le id_token renvoyé est un Jeton Web JSON (JWT) standard. Selon le cadre que vous utilisez, vous pouvez trouver divers plugins de validation de jetons JWT pratiques pour vous aider à déchiffrer et valider le jeton. Pour cet exemple, nous utiliserons jose dans notre SDK JavaScript pour faciliter la validation et le décodage du jeton.
Obtenir des informations utilisateur
Après une authentification réussie, des informations utilisateur de base peuvent être récupérées à partir de l'id_token OIDC délivré par le serveur d'autorisation. Cependant, en raison de considérations de performance, le contenu du jeton JWT est limité. Pour obtenir des informations de profil utilisateur plus détaillées, les serveurs d'autorisation conformes à OIDC offrent un point de terminaison d'information d'utilisateur clé en main. Ce point de terminaison vous permet de récupérer des données de profil d'utilisateur supplémentaires en demandant des scopes de profil d'utilisateur spécifiques.
Lors de l'appel à un point de terminaison d'échange de jetons sans indiquer une ressource API spécifique, le serveur d'autorisation délivrera par défaut un access_token de type opaque. Cet access_token ne peut être utilisé que pour accéder au point de terminaison des informations utilisateur, permettant la récupération des données de profil utilisateur de base.
Obtenir un access_token pour l'autorisation de la ressource protégée
Dans la plupart des cas, une application client nécessite non seulement l'authentification de l'utilisateur, mais aussi son autorisation pour accéder à certaines ressources protégées ou points de terminaison API. Ici, nous allons utiliser le refresh_token obtenu lors de la connexion pour obtenir des access_tokens spécifiquement accordés pour gérer des ressources particulières. Cela nous permet d'obtenir l'accès à ces APIs protégées.
Résumé
Nous avons fourni des implémentations de méthodes essentielles pour le processus d'authentification et d'autorisation des utilisateurs de l'application côté client. Selon votre scénario spécifique, vous pouvez organiser et optimiser la logique du SDK en conséquence. Notez que des variations peuvent exister en raison des différentes plateformes et cadres.
Pour plus de détails, explorez les packages de SDK offerts par Logto. Nous encourageons plus d'utilisateurs à se joindre au développement et à participer aux discussions avec nous. Vos commentaires et contributions sont très appréciés alors que nous continuons à améliorer et à étendre les capacités du SDK.
Annexe
Portées réservées
Portées réservées de Logto dont vous aurez besoin pour passer lors de la première demande d'autorisation. Ces portées sont soit des portées fondamentales réservées à OIDC, soit réservées à Logto pour compléter un flux d'autorisation réussi.
| Nom de la portée | Description |
|---|---|
| openid | Requis pour accorder id_token après une authentification réussie. |
| offline-access | Requis pour accorder un refresh_token qui permet à votre application cliente d'échanger et de renouveler un access_token hors écran. |
| profile | Requis pour obtenir un accès aux informations de base de l'utilisateur |
Logto Config
| Nom de la propriété | Type | Requis | Description | Valeur par défaut |
|---|---|---|---|---|
| appId | string | true | L'identifiant unique de l'application. Généré par le serveur d'autorisation pour identifier l'application cliente. | |
| appSecret | string | Le secret de l'application est utilisé, en conjonction avec l'ID de l'application, pour vérifier l'identité du demandeur. Il est requis pour les clients confidentiels comme les applications web Go ou Next.js, et facultatif pour les clients publics comme les applications natives or single-page applications (SPAs) | ||
| endpoint | string | true | Votre point de terminaison racine du serveur d'autorisation. Cette propriété sera largement utilisée pour générer des demandes d'autorisation. | |
| scopes | liste de string | Indique toutes les portées de ressources nécessaires que l'utilisateur peut devoir être accordées pour accéder à toute ressource protégée donnée. | [reservedScopes] | |
| resources | liste de string | Tous les indicateurs de ressource protégée auxquels l'utilisateur peut demander l'accès |