Implementeer een eenvoudige client-side OIDC SDK
Logto biedt een verscheidenheid aan SDK's voor verschillende platforms. Naast onze officiële SDK's, moedigen wij ontwikkelaars uit de gemeenschap aan om hun eigen gebruiksvriendelijke SDK's te creëren. Dit artikel begeleidt je bij het bouwen van een basis client-side SDK voor OIDC.
Developer
Introductie
Logto biedt onze ontwikkelaars en zakelijke groepen een uitgebreide Customer Identity and Access Management (CIAM) oplossing. We bieden een breed scala aan kant-en-klare SDK's voor verschillende platforms en applicatiekaders. Gecombineerd met onze Logto cloudservice, kun je moeiteloos een zeer veilige gebruikersautorisatiestroom voor je applicatie in slechts enkele minuten opzetten. Als een bedrijf dat is ontstaan uit de ontwikkelaarsgemeenschap, omarmt en waardeert Logto onze betrokkenheid bij de gemeenschap. Naast de officieel ontwikkelde Logto SDK's, moedigen we ontwikkelaars uit de gemeenschap continu aan en verwelkomen we ze om hun expertise bij te dragen door meer diverse en gebruiksvriendelijke SDK's te creëren, waarmee aan de unieke behoeften van verschillende platforms en kaders wordt voldaan. In dit artikel zullen we kort demonstreren hoe je stapsgewijs een OIDC-standaard authenticatie SDK implementeert.
Context
De OpenID Connect (OIDC) flow is een authenticatieprotocol dat voortbouwt op het OAuth 2.0-kader om identiteitsverificatie en single sign-onmogelijkheden te bieden. Het stelt gebruikers in staat zichzelf bij een applicatie te authenticeren en verder veilig toegang te krijgen tot privébronnen. Raadpleeg de OIDC-specificaties voor meer details.
Werkstroom
Een standaard autorisatiecode-flow omvat de volgende stappen:
%3bfill:%23ECECFF%3b%7d%23mermaid-0 text.actor%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .actor-line%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3b%7d%23mermaid-0 .messageLine0%7bstroke-width:1.5%3bstroke-dasharray:none%3bstroke:%23333%3b%7d%23mermaid-0 .messageLine1%7bstroke-width:1.5%3bstroke-dasharray:2%2c2%3bstroke:%23333%3b%7d%23mermaid-0 %23arrowhead path%7bfill:%23333%3bstroke:%23333%3b%7d%23mermaid-0 .sequenceNumber%7bfill:white%3b%7d%23mermaid-0 %23sequencenumber%7bfill:%23333%3b%7d%23mermaid-0 %23crosshead path%7bfill:%23333%3bstroke:%23333%3b%7d%23mermaid-0 .messageText%7bfill:%23333%3bstroke:none%3b%7d%23mermaid-0 .labelBox%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3b%7d%23mermaid-0 .labelText%2c%23mermaid-0 .labelText%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .loopText%2c%23mermaid-0 .loopText%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .loopLine%7bstroke-width:2px%3bstroke-dasharray:2%2c2%3bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3b%7d%23mermaid-0 .note%7bstroke:%23aaaa33%3bfill:%23fff5ad%3b%7d%23mermaid-0 .noteText%2c%23mermaid-0 .noteText%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .activation0%7bfill:%23f4f4f4%3bstroke:%23666%3b%7d%23mermaid-0 .activation1%7bfill:%23f4f4f4%3bstroke:%23666%3b%7d%23mermaid-0 .activation2%7bfill:%23f4f4f4%3bstroke:%23666%3b%7d%23mermaid-0 .actorPopupMenu%7bposition:absolute%3b%7d%23mermaid-0 .actorPopupMenuPanel%7bposition:absolute%3bfill:%23ECECFF%3bbox-shadow:0px 8px 16px 0px rgba(0%2c0%2c0%2c0.2)%3bfilter:drop-shadow(3px 5px 2px rgb(0 0 0 / 0.4))%3b%7d%23mermaid-0 .actor-man line%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3b%7d%23mermaid-0 .actor-man circle%2c%23mermaid-0 line%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3bstroke-width:2px%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg/%3e%3cdefs%3e%3csymbol height='24' width='24' id='computer'%3e%3cpath d='M2 2v13h20v-13h-20zm18 11h-16v-9h16v9zm-10.228 6l.466-1h3.524l.467 1h-4.457zm14.228 3h-24l2-6h2.104l-1.33 4h18.45l-1.297-4h2.073l2 6zm-5-10h-14v-7h14v7z' transform='scale(.5)'/%3e%3c/symbol%3e%3c/defs%3e%3cdefs%3e%3csymbol clip-rule='evenodd' fill-rule='evenodd' id='database'%3e%3cpath d='M12.258.001l.256.004.255.005.253.008.251.01.249.012.247.015.246.016.242.019.241.02.239.023.236.024.233.027.231.028.229.031.225.032.223.034.22.036.217.038.214.04.211.041.208.043.205.045.201.046.198.048.194.05.191.051.187.053.183.054.18.056.175.057.172.059.168.06.163.061.16.063.155.064.15.066.074.033.073.033.071.034.07.034.069.035.068.035.067.035.066.035.064.036.064.036.062.036.06.036.06.037.058.037.058.037.055.038.055.038.053.038.052.038.051.039.05.039.048.039.047.039.045.04.044.04.043.04.041.04.04.041.039.041.037.041.036.041.034.041.033.042.032.042.03.042.029.042.027.042.026.043.024.043.023.043.021.043.02.043.018.044.017.043.015.044.013.044.012.044.011.045.009.044.007.045.006.045.004.045.002.045.001.045v17l-.001.045-.002.045-.004.045-.006.045-.007.045-.009.044-.011.045-.012.044-.013.044-.015.044-.017.043-.018.044-.02.043-.021.043-.023.043-.024.043-.026.043-.027.042-.029.042-.03.042-.032.042-.033.042-.034.041-.036.041-.037.041-.039.041-.04.041-.041.04-.043.04-.044.04-.045.04-.047.039-.048.039-.05.039-.051.039-.052.038-.053.038-.055.038-.055.038-.058.037-.058.037-.06.037-.06.036-.062.036-.064.036-.064.036-.066.035-.067.035-.068.035-.069.035-.07.034-.071.034-.073.033-.074.033-.15.066-.155.064-.16.063-.163.061-.168.06-.172.059-.175.057-.18.056-.183.054-.187.053-.191.051-.194.05-.198.048-.201.046-.205.045-.208.043-.211.041-.214.04-.217.038-.22.036-.223.034-.225.032-.229.031-.231.028-.233.027-.236.024-.239.023-.241.02-.242.019-.246.016-.247.015-.249.012-.251.01-.253.008-.255.005-.256.004-.258.001-.258-.001-.256-.004-.255-.005-.253-.008-.251-.01-.249-.012-.247-.015-.245-.016-.243-.019-.241-.02-.238-.023-.236-.024-.234-.027-.231-.028-.228-.031-.226-.032-.223-.034-.22-.036-.217-.038-.214-.04-.211-.041-.208-.043-.204-.045-.201-.046-.198-.048-.195-.05-.19-.051-.187-.053-.184-.054-.179-.056-.176-.057-.172-.059-.167-.06-.164-.061-.159-.063-.155-.064-.151-.066-.074-.033-.072-.033-.072-.034-.07-.034-.069-.035-.068-.035-.067-.035-.066-.035-.064-.036-.063-.036-.062-.036-.061-.036-.06-.037-.058-.037-.057-.037-.056-.038-.055-.038-.053-.038-.052-.038-.051-.039-.049-.039-.049-.039-.046-.039-.046-.04-.044-.04-.043-.04-.041-.04-.04-.041-.039-.041-.037-.041-.036-.041-.034-.041-.033-.042-.032-.042-.03-.042-.029-.042-.027-.042-.026-.043-.024-.043-.023-.043-.021-.043-.02-.043-.018-.044-.017-.043-.015-.044-.013-.044-.012-.044-.011-.045-.009-.044-.007-.045-.006-.045-.004-.045-.002-.045-.001-.045v-17l.001-.045.002-.045.004-.045.006-.045.007-.045.009-.044.011-.045.012-.044.013-.044.015-.044.017-.043.018-.044.02-.043.021-.043.023-.043.024-.043.026-.043.027-.042.029-.042.03-.042.032-.042.033-.042.034-.041.036-.041.037-.041.039-.041.04-.041.041-.04.043-.04.044-.04.046-.04.046-.039.049-.039.049-.039.051-.039.052-.038.053-.038.055-.038.056-.038.057-.037.058-.037.06-.037.061-.036.062-.036.063-.036.064-.036.066-.035.067-.035.068-.035.069-.035.07-.034.072-.034.072-.033.074-.033.151-.066.155-.064.159-.063.164-.061.167-.06.172-.059.176-.057.179-.056.184-.054.187-.053.19-.051.195-.05.198-.048.201-.046.204-.045.208-.043.211-.041.214-.04.217-.038.22-.036.223-.034.226-.032.228-.031.231-.028.234-.027.236-.024.238-.023.241-.02.243-.019.245-.016.247-.015.249-.012.251-.01.253-.008.255-.005.256-.004.258-.001.258.001zm-9.258 20.499v.01l.001.021.003.021.004.022.005.021.006.022.007.022.009.023.01.022.011.023.012.023.013.023.015.023.016.024.017.023.018.024.019.024.021.024.022.025.023.024.024.025.052.049.056.05.061.051.066.051.07.051.075.051.079.052.084.052.088.052.092.052.097.052.102.051.105.052.11.052.114.051.119.051.123.051.127.05.131.05.135.05.139.048.144.049.147.047.152.047.155.047.16.045.163.045.167.043.171.043.176.041.178.041.183.039.187.039.19.037.194.035.197.035.202.033.204.031.209.03.212.029.216.027.219.025.222.024.226.021.23.02.233.018.236.016.24.015.243.012.246.01.249.008.253.005.256.004.259.001.26-.001.257-.004.254-.005.25-.008.247-.011.244-.012.241-.014.237-.016.233-.018.231-.021.226-.021.224-.024.22-.026.216-.027.212-.028.21-.031.205-.031.202-.034.198-.034.194-.036.191-.037.187-.039.183-.04.179-.04.175-.042.172-.043.168-.044.163-.045.16-.046.155-.046.152-.047.148-.048.143-.049.139-.049.136-.05.131-.05.126-.05.123-.051.118-.052.114-.051.11-.052.106-.052.101-.052.096-.052.092-.052.088-.053.083-.051.079-.052.074-.052.07-.051.065-.051.06-.051.056-.05.051-.05.023-.024.023-.025.021-.024.02-.024.019-.024.018-.024.017-.024.015-.023.014-.024.013-.023.012-.023.01-.023.01-.022.008-.022.006-.022.006-.022.004-.022.004-.021.001-.021.001-.021v-4.127l-.077.055-.08.053-.083.054-.085.053-.087.052-.09.052-.093.051-.095.05-.097.05-.1.049-.102.049-.105.048-.106.047-.109.047-.111.046-.114.045-.115.045-.118.044-.12.043-.122.042-.124.042-.126.041-.128.04-.13.04-.132.038-.134.038-.135.037-.138.037-.139.035-.142.035-.143.034-.144.033-.147.032-.148.031-.15.03-.151.03-.153.029-.154.027-.156.027-.158.026-.159.025-.161.024-.162.023-.163.022-.165.021-.166.02-.167.019-.169.018-.169.017-.171.016-.173.015-.173.014-.175.013-.175.012-.177.011-.178.01-.179.008-.179.008-.181.006-.182.005-.182.004-.184.003-.184.002h-.37l-.184-.002-.184-.003-.182-.004-.182-.005-.181-.006-.179-.008-.179-.008-.178-.01-.176-.011-.176-.012-.175-.013-.173-.014-.172-.015-.171-.016-.17-.017-.169-.018-.167-.019-.166-.02-.165-.021-.163-.022-.162-.023-.161-.024-.159-.025-.157-.026-.156-.027-.155-.027-.153-.029-.151-.03-.15-.03-.148-.031-.146-.032-.145-.033-.143-.034-.141-.035-.14-.035-.137-.037-.136-.037-.134-.038-.132-.038-.13-.04-.128-.04-.126-.041-.124-.042-.122-.042-.12-.044-.117-.043-.116-.045-.113-.045-.112-.046-.109-.047-.106-.047-.105-.048-.102-.049-.1-.049-.097-.05-.095-.05-.093-.052-.09-.051-.087-.052-.085-.053-.083-.054-.08-.054-.077-.054v4.127zm0-5.654v.011l.001.021.003.021.004.021.005.022.006.022.007.022.009.022.01.022.011.023.012.023.013.023.015.024.016.023.017.024.018.024.019.024.021.024.022.024.023.025.024.024.052.05.056.05.061.05.066.051.07.051.075.052.079.051.084.052.088.052.092.052.097.052.102.052.105.052.11.051.114.051.119.052.123.05.127.051.131.05.135.049.139.049.144.048.147.048.152.047.155.046.16.045.163.045.167.044.171.042.176.042.178.04.183.04.187.038.19.037.194.036.197.034.202.033.204.032.209.03.212.028.216.027.219.025.222.024.226.022.23.02.233.018.236.016.24.014.243.012.246.01.249.008.253.006.256.003.259.001.26-.001.257-.003.254-.006.25-.008.247-.01.244-.012.241-.015.237-.016.233-.018.231-.02.226-.022.224-.024.22-.025.216-.027.212-.029.21-.03.205-.032.202-.033.198-.035.194-.036.191-.037.187-.039.183-.039.179-.041.175-.042.172-.043.168-.044.163-.045.16-.045.155-.047.152-.047.148-.048.143-.048.139-.05.136-.049.131-.05.126-.051.123-.051.118-.051.114-.052.11-.052.106-.052.101-.052.096-.052.092-.052.088-.052.083-.052.079-.052.074-.051.07-.052.065-.051.06-.05.056-.051.051-.049.023-.025.023-.024.021-.025.02-.024.019-.024.018-.024.017-.024.015-.023.014-.023.013-.024.012-.022.01-.023.01-.023.008-.022.006-.022.006-.022.004-.021.004-.022.001-.021.001-.021v-4.139l-.077.054-.08.054-.083.054-.085.052-.087.053-.09.051-.093.051-.095.051-.097.05-.1.049-.102.049-.105.048-.106.047-.109.047-.111.046-.114.045-.115.044-.118.044-.12.044-.122.042-.124.042-.126.041-.128.04-.13.039-.132.039-.134.038-.135.037-.138.036-.139.036-.142.035-.143.033-.144.033-.147.033-.148.031-.15.03-.151.03-.153.028-.154.028-.156.027-.158.026-.159.025-.161.024-.162.023-.163.022-.165.021-.166.02-.167.019-.169.018-.169.017-.171.016-.173.015-.173.014-.175.013-.175.012-.177.011-.178.009-.179.009-.179.007-.181.007-.182.005-.182.004-.184.003-.184.002h-.37l-.184-.002-.184-.003-.182-.004-.182-.005-.181-.007-.179-.007-.179-.009-.178-.009-.176-.011-.176-.012-.175-.013-.173-.014-.172-.015-.171-.016-.17-.017-.169-.018-.167-.019-.166-.02-.165-.021-.163-.022-.162-.023-.161-.024-.159-.025-.157-.026-.156-.027-.155-.028-.153-.028-.151-.03-.15-.03-.148-.031-.146-.033-.145-.033-.143-.033-.141-.035-.14-.036-.137-.036-.136-.037-.134-.038-.132-.039-.13-.039-.128-.04-.126-.041-.124-.042-.122-.043-.12-.043-.117-.044-.116-.044-.113-.046-.112-.046-.109-.046-.106-.047-.105-.048-.102-.049-.1-.049-.097-.05-.095-.051-.093-.051-.09-.051-.087-.053-.085-.052-.083-.054-.08-.054-.077-.054v4.139zm0-5.666v.011l.001.02.003.022.004.021.005.022.006.021.007.022.009.023.01.022.011.023.012.023.013.023.015.023.016.024.017.024.018.023.019.024.021.025.022.024.023.024.024.025.052.05.056.05.061.05.066.051.07.051.075.052.079.051.084.052.088.052.092.052.097.052.102.052.105.051.11.052.114.051.119.051.123.051.127.05.131.05.135.05.139.049.144.048.147.048.152.047.155.046.16.045.163.045.167.043.171.043.176.042.178.04.183.04.187.038.19.037.194.036.197.034.202.033.204.032.209.03.212.028.216.027.219.025.222.024.226.021.23.02.233.018.236.017.24.014.243.012.246.01.249.008.253.006.256.003.259.001.26-.001.257-.003.254-.006.25-.008.247-.01.244-.013.241-.014.237-.016.233-.018.231-.02.226-.022.224-.024.22-.025.216-.027.212-.029.21-.03.205-.032.202-.033.198-.035.194-.036.191-.037.187-.039.183-.039.179-.041.175-.042.172-.043.168-.044.163-.045.16-.045.155-.047.152-.047.148-.048.143-.049.139-.049.136-.049.131-.051.126-.05.123-.051.118-.052.114-.051.11-.052.106-.052.101-.052.096-.052.092-.052.088-.052.083-.052.079-.052.074-.052.07-.051.065-.051.06-.051.056-.05.051-.049.023-.025.023-.025.021-.024.02-.024.019-.024.018-.024.017-.024.015-.023.014-.024.013-.023.012-.023.01-.022.01-.023.008-.022.006-.022.006-.022.004-.022.004-.021.001-.021.001-.021v-4.153l-.077.054-.08.054-.083.053-.085.053-.087.053-.09.051-.093.051-.095.051-.097.05-.1.049-.102.048-.105.048-.106.048-.109.046-.111.046-.114.046-.115.044-.118.044-.12.043-.122.043-.124.042-.126.041-.128.04-.13.039-.132.039-.134.038-.135.037-.138.036-.139.036-.142.034-.143.034-.144.033-.147.032-.148.032-.15.03-.151.03-.153.028-.154.028-.156.027-.158.026-.159.024-.161.024-.162.023-.163.023-.165.021-.166.02-.167.019-.169.018-.169.017-.171.016-.173.015-.173.014-.175.013-.175.012-.177.01-.178.01-.179.009-.179.007-.181.006-.182.006-.182.004-.184.003-.184.001-.185.001-.185-.001-.184-.001-.184-.003-.182-.004-.182-.006-.181-.006-.179-.007-.179-.009-.178-.01-.176-.01-.176-.012-.175-.013-.173-.014-.172-.015-.171-.016-.17-.017-.169-.018-.167-.019-.166-.02-.165-.021-.163-.023-.162-.023-.161-.024-.159-.024-.157-.026-.156-.027-.155-.028-.153-.028-.151-.03-.15-.03-.148-.032-.146-.032-.145-.033-.143-.034-.141-.034-.14-.036-.137-.036-.136-.037-.134-.038-.132-.039-.13-.039-.128-.041-.126-.041-.124-.041-.122-.043-.12-.043-.117-.044-.116-.044-.113-.046-.112-.046-.109-.046-.106-.048-.105-.048-.102-.048-.1-.05-.097-.049-.095-.051-.093-.051-.09-.052-.087-.052-.085-.053-.083-.053-.08-.054-.077-.054v4.153zm8.74-8.179l-.257.004-.254.005-.25.008-.247.011-.244.012-.241.014-.237.016-.233.018-.231.021-.226.022-.224.023-.22.026-.216.027-.212.028-.21.031-.205.032-.202.033-.198.034-.194.036-.191.038-.187.038-.183.04-.179.041-.175.042-.172.043-.168.043-.163.045-.16.046-.155.046-.152.048-.148.048-.143.048-.139.049-.136.05-.131.05-.126.051-.123.051-.118.051-.114.052-.11.052-.106.052-.101.052-.096.052-.092.052-.088.052-.083.052-.079.052-.074.051-.07.052-.065.051-.06.05-.056.05-.051.05-.023.025-.023.024-.021.024-.02.025-.019.024-.018.024-.017.023-.015.024-.014.023-.013.023-.012.023-.01.023-.01.022-.008.022-.006.023-.006.021-.004.022-.004.021-.001.021-.001.021.001.021.001.021.004.021.004.022.006.021.006.023.008.022.01.022.01.023.012.023.013.023.014.023.015.024.017.023.018.024.019.024.02.025.021.024.023.024.023.025.051.05.056.05.06.05.065.051.07.052.074.051.079.052.083.052.088.052.092.052.096.052.101.052.106.052.11.052.114.052.118.051.123.051.126.051.131.05.136.05.139.049.143.048.148.048.152.048.155.046.16.046.163.045.168.043.172.043.175.042.179.041.183.04.187.038.191.038.194.036.198.034.202.033.205.032.21.031.212.028.216.027.22.026.224.023.226.022.231.021.233.018.237.016.241.014.244.012.247.011.25.008.254.005.257.004.26.001.26-.001.257-.004.254-.005.25-.008.247-.011.244-.012.241-.014.237-.016.233-.018.231-.021.226-.022.224-.023.22-.026.216-.027.212-.028.21-.031.205-.032.202-.033.198-.034.194-.036.191-.038.187-.038.183-.04.179-.041.175-.042.172-.043.168-.043.163-.045.16-.046.155-.046.152-.048.148-.048.143-.048.139-.049.136-.05.131-.05.126-.051.123-.051.118-.051.114-.052.11-.052.106-.052.101-.052.096-.052.092-.052.088-.052.083-.052.079-.052.074-.051.07-.052.065-.051.06-.05.056-.05.051-.05.023-.025.023-.024.021-.024.02-.025.019-.024.018-.024.017-.023.015-.024.014-.023.013-.023.012-.023.01-.023.01-.022.008-.022.006-.023.006-.021.004-.022.004-.021.001-.021.001-.021-.001-.021-.001-.021-.004-.021-.004-.022-.006-.021-.006-.023-.008-.022-.01-.022-.01-.023-.012-.023-.013-.023-.014-.023-.015-.024-.017-.023-.018-.024-.019-.024-.02-.025-.021-.024-.023-.024-.023-.025-.051-.05-.056-.05-.06-.05-.065-.051-.07-.052-.074-.051-.079-.052-.083-.052-.088-.052-.092-.052-.096-.052-.101-.052-.106-.052-.11-.052-.114-.052-.118-.051-.123-.051-.126-.051-.131-.05-.136-.05-.139-.049-.143-.048-.148-.048-.152-.048-.155-.046-.16-.046-.163-.045-.168-.043-.172-.043-.175-.042-.179-.041-.183-.04-.187-.038-.191-.038-.194-.036-.198-.034-.202-.033-.205-.032-.21-.031-.212-.028-.216-.027-.22-.026-.224-.023-.226-.022-.231-.021-.233-.018-.237-.016-.241-.014-.244-.012-.247-.011-.25-.008-.254-.005-.257-.004-.26-.001-.26.001z' transform='scale(.5)'/%3e%3c/symbol%3e%3c/defs%3e%3cdefs%3e%3csymbol height='24' width='24' id='clock'%3e%3cpath d='M12 2c5.514 0 10 4.486 10 10s-4.486 10-10 10-10-4.486-10-10 4.486-10 10-10zm0-2c-6.627 0-12 5.373-12 12s5.373 12 12 12 12-5.373 12-12-5.373-12-12-12zm5.848 12.459c.202.038.202.333.001.372-1.907.361-6.045 1.111-6.547 1.111-.719 0-1.301-.582-1.301-1.301 0-.512.77-5.447 1.125-7.445.034-.192.312-.181.343.014l.985 6.238 5.394 1.011z' transform='scale(.5)'/%3e%3c/symbol%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto-start-reverse' markerHeight='12' markerWidth='12' markerUnits='userSpaceOnUse' refY='5' refX='7.9' id='arrowhead'%3e%3cpath d='M -1 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker refY='4.5' refX='4' orient='auto' markerHeight='8' markerWidth='15' id='crosshead'%3e%3cpath style='stroke-dasharray: 0%2c 0%3b' d='M 1%2c2 L 6%2c7 M 6%2c2 L 1%2c7' stroke-width='1pt' stroke='black' fill='none'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='28' markerWidth='20' refY='7' refX='15.5' id='filled-head'%3e%3cpath d='M 18%2c7 L9%2c13 L14%2c7 L9%2c1 Z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='40' markerWidth='60' refY='15' refX='15' id='sequencenumber'%3e%3ccircle r='6' cy='15' cx='15'/%3e%3c/marker%3e%3c/defs%3e%3cg name='user' class='actor-man actor-top'%3e%3cline y2='45' x2='75' y1='25' x1='75' id='actor-man-torso0'/%3e%3cline y2='33' x2='93' y1='33' x1='57' id='actor-man-arms0'/%3e%3cline y2='45' x2='75' y1='60' x1='57'/%3e%3cline y2='60' x2='91' y1='45' x1='75'/%3e%3ccircle height='65' width='150' r='15' cy='10' cx='75'/%3e%3ctext style='text-anchor: middle%3b font-size: 16px%3b font-weight: 400%3b font-family: arial%2c sans-serif%3b' class='actor actor-man' alignment-baseline='central' dominant-baseline='central' y='67.5' x='75'%3e%3ctspan dy='0' x='75'%3eEindgebruiker%3c/tspan%3e%3c/text%3e%3c/g%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='80' x='223'%3eanonieme bezoeker aanmelding%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='109' x2='369' y1='109' x1='76'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='124' x='611'%3estuur authenticatieverzoek%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='153' x2='848' y1='153' x1='374'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='168' x='465'%3eomleiden naar de aanmeldingspagina van de gebruiker%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='197' x2='79' y1='197' x1='851'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='212' x='462'%3eaanmelden met inloggegevens%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='241' x2='848' y1='241' x1='76'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='256' x='614'%3eomleiden terug naar de client-app met authorization_code%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='287' x2='377' y1='287' x1='851'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='302' x='611'%3eaanvraag tokenuitwisseling met de authorization_code%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='333' x2='848' y1='333' x1='374'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='348' x='614'%3everleen id_token%2c access_token en refresh_token%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='379' x2='377' y1='379' x1='851'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='394' x='226'%3egeauthenticeerd%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='423' x2='79' y1='423' x1='372'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='438' x='776'%3eprive API-verzoek met access_token%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='469' x2='1178' y1='469' x1='374'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='484' x='1017'%3esynchroniseer ondertekeningssleutel%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' stroke='none' stroke-width='2' class='messageLine1' y2='513' x2='853' y1='513' x1='1181'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='528' x='1183'%3etokenvalidatie%3c/text%3e%3cpath style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' d='M 1183%2c557 C 1243%2c547 1243%2c587 1183%2c577'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='602' x='779'%3e200 OK%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='631' x2='377' y1='631' x1='1181'/%3e%3cg name='user' class='actor-man actor-bottom'%3e%3cline y2='696' x2='75' y1='676' x1='75' id='actor-man-torso3'/%3e%3cline y2='684' x2='93' y1='684' x1='57' id='actor-man-arms3'/%3e%3cline y2='696' x2='75' y1='711' x1='57'/%3e%3cline y2='711' x2='91' y1='696' x1='75'/%3e%3ccircle height='65' width='150' r='15' cy='661' cx='75'/%3e%3ctext style='text-anchor: middle%3b font-size: 16px%3b font-weight: 400%3b font-family: arial%2c sans-serif%3b' class='actor actor-man' alignment-baseline='central' dominant-baseline='central' y='718.5' x='75'%3e%3ctspan dy='0' x='75'%3eEindgebruiker%3c/tspan%3e%3c/text%3e%3c/g%3e%3c/svg%3e)
Authenticatiestroom
- Gebruiker initieert het aanmeldverzoek: Een anonieme gebruiker komt via een openbare ingang bij je applicatie. Proberen zich te authenticeren en misschien verder vragen om toegang tot een beschermd middel op een applicatie of dienst van een derde partij.
- Gebruikersauthenticatie: De client-app genereert een authenticatie-URI en stuurt een verzoek naar de autorisatieserver, die de gebruiker omleidt naar zijn aanmeldingspagina. De gebruiker interacteert met de aanmeldingspagina met behulp van een breed scala aan aanmeldmethoden en wordt geauthenticeerd door de autorisatieserver.
- Afhandelen van aanmeldingscallback: Na succesvolle authenticatie wordt de gebruiker teruggeleid naar jouw applicatie met een verleende
authorization_code. Dezeauthorization_codebevat alle relevante machtigingen die zijn gekoppeld aan de authenticatiestatus en gevraagde autorisatiegegevens. - Tokenuitwisseling: Doe een verzoek om tokenuitwisseling met de
authorization_codedie is opgehaald uit het bovenstaande redirectadres. In ruil daarvoor:id_token: Een digitaal ondertekende JWT die identiteitsinformatie bevat over de geauthenticeerde gebruiker.access_token: Een ondoorzichtigeaccess_tokendie kan worden gebruikt om toegang te krijgen tot het gebruikersinfo-eindpunt.refresh_token: Het token waarmee de gebruiker een continue uitwisseling voor eenaccess_tokenkan behouden.
Autorisatiestroom
- Toegang tot gebruikersinformatie: Om meer gebruikersinformatie te benaderen, kan de applicatie aanvullende verzoeken doen aan het UserInfo-eindpunt, gebruikmakend van de ondoorzichtige
access_tokenverkregen uit de initiële tokenuitwisselingsflow. Dit maakt een retrieval mogelijk van aanvullende gegevens over de gebruiker, zoals hun e-mailadres of profielfoto. - Toegang verlenen tot het beschermde middel: Indien nodig kan de applicatie aanvullende verzoeken doen aan het tokenuitwisselingsendpunt, gebruikmakend van de
refresh_tokengecombineerd metresourceenscopeparameters, om een specialeaccess_tokenvoor de gebruiker te verkrijgen om toegang te krijgen tot het doelmiddel. Dit proces resulteert in de uitgifte van een JWT-geformateerdeaccess_tokendie alle benodigde autorisatie-informatie bevat om toegang te krijgen tot het beschermde middel.
Implementatie
We zullen enkele ontwerpstrategieën volgen binnen onze @logto/client JavaScript SDK om het proces van het implementeren van een eenvoudige SDK voor je eigen client applicatie te demonstreren. Houd er rekening mee dat de gedetailleerde code structuur kan verschillen, afhankelijk van het client framework waarmee je werkt. Voel je vrij om een van de officiële Logto SDK's als voorbeeld voor je eigen SDK project te kiezen.
Voorbeeld
Constructor
De constructor moet een logtoConfig als invoer nemen. Dit biedt alle nodige configuraties die je nodig hebt om een authenticatieverbinding tot stand te brengen via deze SDK.
Afhankelijk van het platform of kader dat je gebruikt voor de SDK, kun je een instance van een persistente lokale opslag aan de constructor doorgeven. Deze opslaginstance wordt gebruikt om alle autorisatie-gerelateerde tokens en geheimen op te slaan.
Initiëer gebruikersauthenticatie
Voordat je een authenticatieverzoek-URL kunt genereren, is het essentieel om verschillende voorbereidende stappen te voltooien om een veilig proces te waarborgen.
Verkrijg OIDC-configuraties van de autorisatieserver
Definieer een privé methode getOidcConfigs om OIDC-configuraties op te halen van het ontdekkingsendpunt van de autorisatieserver. De OIDC-configuraties reactie bevat alle metadata informatie die de client kan gebruiken om te communiceren met de autorisatieserver, inclusief zijn eindpuntlocaties en de mogelijkheden van de server. (Raadpleeg OAuth OAuth Authorization Server Metadata Specs voor meer details.)
PKCE Generator
Een PKCE(Proof Key for Code Exchange) validatiestroom is essentieel voor alle openbare client autorisatiecode uitwisselingsflows. Het vermindert het risico van onderschepping van authorization_code aanvallen. Dus een code_challenge en code_verifier is vereist voor alle openbare client applicaties (bijv. native app en SPA) autorisatieverzoeken.
De implementatiemethoden kunnen variëren, afhankelijk van de talen en kaders die je gebruikt. Raadpleeg de code_challenge en code_verifier spec voor gedetailleerde definities.
Genereer staat parameter
In de autorisatiestroom is de staat parameter een willekeurig gegenereerde waarde die is opgenomen in het autorisatieverzoek dat door de client is verzonden. Het fungeert als een beveiligingsmaatregel om cross-site request forgery (CSRF) aanvallen te voorkomen.
Bewaar tussentijdse sessie-info
Er zijn verschillende parameters die moeten worden bewaard in de opslag voor validatiedoeleinden nadat de gebruiker is geauthenticeerd en teruggeleid naar de clientkant. We gaan een methode implementeren om die tussentijdse parameters naar de opslag op te slaan.
Aanmelden
Laten we alles wat hierboven is geïmplementeerd, samenvoegen, een methode definiëren die een URL voor gebruikersaanmelding genereert en de gebruiker omleiden naar de autorisatieserver om te worden geauthenticeerd.
Behandel user sign-in callback
In de vorige sectie maakten we een aanmeldmethode die een URL voor gebruikersauthenticatie genereert. Deze URL bevat alle vereiste parameters die nodig zijn om een authenticatiestroom vanuit een client-app te initiëren. De methode leidt de gebruiker om naar de aanmeldingspagina van de autorisatieserver voor authenticatie. Na een succesvolle aanmelding wordt de eindgebruiker teruggeleid naar de redirect_uri locatie die hierboven is verstrekt. Alle benodigde parameters worden in de redirect_uri meegedragen om de volgende tokenuitwisselingsflows te voltooien.
Extraheer en verifieer de callback-URL
Deze validatiestap is uiterst belangrijk om elke vorm van vervalste autorisatiecallback-aanvallen te voorkomen. De callback-URL MOET zorgvuldig worden geverifieerd voordat verdere aanvraag voor code-uitwisseling naar de autorisatieserver wordt verzonden. Allereerst moeten we de signInSession gegevens ophalen die we vanuit de app-opslag hebben opgeslagen.
Verifieer vervolgens de parameters van de callback-URL voordat je het tokenuitwisselingsverzoek verzendt.
- Gebruik de eerder opgeslagen
redirectUriom te verifiëren of decallbackUrihetzelfde is als die we naar de autorisatieserver hebben verzonden. - Gebruik de eerder opgeslagen
stateom te verifiëren of de geretourneerde staat hetzelfde is als degene die we naar de autorisatieserver hebben verzonden. - Controleer of er een fout is geretourneerd door de autorisatieserver.
- Controleer of het geretourneerde
authorization_codebestaat.
Stuur het code-uitwisselingsverzoek
Als laatste stap van de gebruikersauthenticatiestroom zullen we de geretourneerde authorization_code gebruiken om een tokenuitwisselingsverzoek te sturen en de vereiste autorisatietokens te verkrijgen. Voor meer details over de definities van de aanvraagparameters, raadpleeg de tokenuitwisselingsspecificatie.
- code: de
authorization_codedie we van de callback URI hebben ontvangen. - clientId: de applicatie ID.
- redirectUri: Dezelfde waarde die wordt gebruikt bij het genereren van de aanmeldings-URL voor de gebruiker.
- codeVerifier: PKCE code verifier. Net als de redirectUri, vergelijkt de autorisatieserver deze waarde met degene die we eerder hebben verzonden, wat de validatie van het binnenkomende tokenuitwisselingsverzoek waarborgt.
Behandel sign-in callback
Laten we alles wat we hebben samengebracht afronden. Laten we de signInCallback afhandelingsmethode bouwen:
Als resultaat zal het tokenuitwisselingsverzoek de volgende tokens teruggeven:
id_token: OIDC idToken, een JSON Web Token (JWT) dat identiteitsinformatie bevat over de geauthenticeerde gebruiker. id_token kan ook worden gebruikt als de Single Source of Truth (SSOT) van de authenticatiestatus van een gebruiker.access_token: De standaard autorisatiecode die wordt geretourneerd door de autorisatieserver. Kan worden gebruikt om het gebruikersinformatie-eindpunt aan te roepen en geauthenticeerde gebruikersinformatie op te halen.refresh_token: (indien offline_access scope aanwezig in het autorisatieverzoek): Dit vernieuwtoken stelt de client-applicatie in staat om een nieuw toegangstoken te verkrijgen zonder dat de gebruiker opnieuw hoeft te authentiseren, waardoor langduriger toegang tot de bronnen wordt verleend.expires_in: De duur van de tijd, in seconden, waarvoor het toegangstoken geldig is voordat het verloopt.
Verificatie van id_token
Het verifiëren en extraheren van claims uit de id_token is een cruciale stap in het authenticatieproces om de authenticiteit en integriteit van het token te waarborgen. Hier zijn de belangrijkste stappen die betrokken zijn bij het verifiëren van een idToken.
- Handtekeningverificatie: De
id_tokenis digitaal ondertekend door de autorisatieserver met behulp van zijn privésleutel. De clientapplicatie moet de handtekening verifiëren met de openbare sleutel van de autorisatieserver. Dit verzekert dat het token niet is geknoeid en daadwerkelijk is uitgegeven door de legitieme autorisatieserver. - Uitgever verificatie**:** Controleer of de "iss" (uitgever) claim in de
id_tokenovereenkomt met de verwachte waarde, ter bevestiging dat het token is uitgegeven door de juiste autorisatieserver. - Publiek verificatie: Zorg ervoor dat de "aud" (publiek) claim in de
id_tokenovereenkomt met de client ID van de clientapplicatie, om ervoor te zorgen dat het token bedoeld is voor de client. - Vervaldatum controle: Controleer of de "iat" (uitgegeven op) claim in de
id_tokenniet is verstreken, ter bevestiging dat het token nog steeds geldig is. Aangezien er sprake is van netwerktransactiekosten, moeten we een uitzonderingstijd instellen wanneer we de ontvangen iat-claim valideren.
Het geretourneerde id_token is een standaard JSON Web Token (JWT). Afhankelijk van het framework dat je gebruikt, kun je verschillende handige JWT-token validatie plugins vinden om te helpen bij het decoderen en valideren van het token. Voor dit voorbeeld zullen we jose in onze JavaScript SDK gebruiken om token validatie en decodering te vergemakkelijken.
Verkrijg gebruikersinformatie
Na succesvolle gebruikersauthenticatie kan basisgebruikersinformatie worden opgehaald uit de OIDC id_token die wordt uitgegeven door de autorisatieserver. Echter, vanwege prestatieoverwegingen is de inhoud van het JWT-token beperkt. Om meer gedetailleerde gebruikersprofielinformatie te verkrijgen, bieden OIDC-conforme autorisatieservers een kant-en-klare gebruikersinfo-eindpunt. Dit eindpunt stelt je in staat om aanvullende gebruikersprofielgegevens op te halen door specifieke gebruikersprofielscopes aan te vragen.
Bij het oproepen van een tokenuitwisselingseindpunt zonder een specifiek API-bron aan te geven, zal de autorisatieserver standaard een ondoorzichtig type access_token afgeven. Dit access_token kan alleen worden gebruikt om toegang te krijgen tot het gebruikersinfo-eindpunt, waardoor retrieval van basisgebruikersprofielgegevens mogelijk is.
Verkrijg toegangstoken voor beschermde bron autorisatie
In de meeste gevallen heeft een clientapplicatie niet alleen gebruikersauthenticatie nodig, maar ook gebruikersautorisatie om toegang te krijgen tot bepaalde beschermde middelen of API-eindpunten. Hier zullen we het refresh_token gebruiken dat tijdens het inloggen is verkregen om access_token(s) te verkrijgen die specifiek zijn verleend om bepaalde middelen te beheren. Hiermee kunnen we toegang krijgen tot die beschermde API's.
Samenvatting
We hebben essentiële methode implementaties verstrekt voor het gebruikersauthenticatie- en autorisatieproces van de client-side app. Afhankelijk van je specifieke scenario kun je de SDK-logica naar wens organiseren en optimaliseren. Houd er rekening mee dat er variaties kunnen bestaan vanwege verschillende platforms en kaders.
Voor aanvullende details, verken de SDK-pakketten die Logto aanbiedt. We moedigen meer gebruikers aan om deel te nemen aan de ontwikkeling en om met ons in discussie te gaan. Je feedback en bijdragen worden zeer gewaardeerd terwijl we de capaciteiten van de SDK blijven verbeteren en uitbreiden.
Bijlage
Gereserveerde scopes
Door Logto gereserveerde scopes die je moet doorgeven tijdens het initiële authenticatieverzoek. Deze scopes zijn óf OIDC-gereserveerde óf Logto-gereserveerde fundamentele scopes om een succesvolle autorisatiestroom te volbrengen.
| Schaalnaam | Beschrijving |
|---|---|
| openid | Vereist voor de toekenning van id_token na een succesvolle authenticatie. |
| offline-access | Vereist voor de toekenning van een refresh_token waarmee je clientapplicatie een exchange en een access_token off the screen kan vernieuwen. |
| profile | Vereist voor het verkrijgen van toegang tot de basisgebruikersinfo |
Logto Config
| Eigenschapsnaam | Type | Vereist | Beschrijving | Standaardwaarde |
|---|---|---|---|---|
| appId | string | true | De unieke applicatie-identificator. gegenereerd door de autorisatieserver om de client applicatie te identificeren. | |
| appSecret | string | Het applicatiegeheim wordt gebruikt, samen met het applicatie ID, om de identiteit van de aanvrager te verifiëren. Het is vereist voor vertrouwelijke clients zoals Go web of Next.js webapps, en optioneel voor openbare clients zoals native of single-page applicaties (SPA's) | ||
| endpoint | string | true | Je autorisatieserver basiseindpunt. Deze eigenschap zal op grote schaal worden gebruikt om autorisatieverzoeken te generen. | |
| scopes | string list | Benadrukt alle nodige ressourcetrucs die de gebruiker moet krijgen om toegang te krijgen tot alle gegeven beschermde sources. | [reservedScopes] | |
| resources | string list | Alle beschermde bronindicatoren waarvoor de gebruiker toegang kan aanvragen. |