Implemente um SDK OIDC simples do lado do cliente
Logto oferece uma variedade de SDKs para diferentes plataformas. Além de nossos SDKs oficiais, incentivamos desenvolvedores da comunidade a criar seus próprios SDKs amigáveis ao usuário. Este artigo irá orientá-lo na construção de um SDK básico do lado do cliente para OIDC.
Developer
Introdução
Logto fornece a nossos desenvolvedores e grupos empresariais uma solução abrangente de Gerenciamento de Identidade e Acesso do Cliente (CIAM). Oferecemos uma ampla variedade de SDKs prontos para uso para diferentes plataformas e frameworks de aplicativos. Combinado com nosso serviço em nuvem Logto, você pode facilmente estabelecer um fluxo de autorização de usuário altamente seguro para seu aplicativo em questão de minutos. Como uma empresa que nasceu da comunidade de desenvolvedores, Logto abraça e valoriza nosso engajamento com a comunidade. Além dos SDKs oficialmente desenvolvidos pela Logto, continuamos a incentivar e acolher calorosamente os desenvolvedores da comunidade a contribuir com sua expertise criando SDKs mais diversos e amigáveis ao usuário, atendendo às necessidades únicas de várias plataformas e frameworks. Neste artigo, iremos demonstrar brevemente como implementar um SDK de autenticação padrão OIDC passo a passo.
Contexto
O fluxo do OpenID Connect (OIDC) é um protocolo de autenticação que se baseia no framework OAuth 2.0 para fornecer verificação de identidade e capacidades de single sign-on. Ele permite que os usuários se autentiquem com um aplicativo e obtenham autorização para acesso adicional a qualquer recurso privado de forma segura. Consulte as especificações OIDC para obter mais detalhes.
Fluxo de trabalho
Um fluxo de código de autorização padrão inclui as seguintes etapas:
%3bfill:%23ECECFF%3b%7d%23mermaid-0 text.actor%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .actor-line%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3b%7d%23mermaid-0 .messageLine0%7bstroke-width:1.5%3bstroke-dasharray:none%3bstroke:%23333%3b%7d%23mermaid-0 .messageLine1%7bstroke-width:1.5%3bstroke-dasharray:2%2c2%3bstroke:%23333%3b%7d%23mermaid-0 %23arrowhead path%7bfill:%23333%3bstroke:%23333%3b%7d%23mermaid-0 .sequenceNumber%7bfill:white%3b%7d%23mermaid-0 %23sequencenumber%7bfill:%23333%3b%7d%23mermaid-0 %23crosshead path%7bfill:%23333%3bstroke:%23333%3b%7d%23mermaid-0 .messageText%7bfill:%23333%3bstroke:none%3b%7d%23mermaid-0 .labelBox%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3b%7d%23mermaid-0 .labelText%2c%23mermaid-0 .labelText%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .loopText%2c%23mermaid-0 .loopText%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .loopLine%7bstroke-width:2px%3bstroke-dasharray:2%2c2%3bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3b%7d%23mermaid-0 .note%7bstroke:%23aaaa33%3bfill:%23fff5ad%3b%7d%23mermaid-0 .noteText%2c%23mermaid-0 .noteText%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .activation0%7bfill:%23f4f4f4%3bstroke:%23666%3b%7d%23mermaid-0 .activation1%7bfill:%23f4f4f4%3bstroke:%23666%3b%7d%23mermaid-0 .activation2%7bfill:%23f4f4f4%3bstroke:%23666%3b%7d%23mermaid-0 .actorPopupMenu%7bposition:absolute%3b%7d%23mermaid-0 .actorPopupMenuPanel%7bposition:absolute%3bfill:%23ECECFF%3bbox-shadow:0px 8px 16px 0px rgba(0%2c0%2c0%2c0.2)%3bfilter:drop-shadow(3px 5px 2px rgb(0 0 0 / 0.4))%3b%7d%23mermaid-0 .actor-man line%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3b%7d%23mermaid-0 .actor-man circle%2c%23mermaid-0 line%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3bstroke-width:2px%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg/%3e%3cdefs%3e%3csymbol height='24' width='24' id='computer'%3e%3cpath d='M2 2v13h20v-13h-20zm18 11h-16v-9h16v9zm-10.228 6l.466-1h3.524l.467 1h-4.457zm14.228 3h-24l2-6h2.104l-1.33 4h18.45l-1.297-4h2.073l2 6zm-5-10h-14v-7h14v7z' transform='scale(.5)'/%3e%3c/symbol%3e%3c/defs%3e%3cdefs%3e%3csymbol clip-rule='evenodd' fill-rule='evenodd' id='database'%3e%3cpath d='M12.258.001l.256.004.255.005.253.008.251.01.249.012.247.015.246.016.242.019.241.02.239.023.236.024.233.027.231.028.229.031.225.032.223.034.22.036.217.038.214.04.211.041.208.043.205.045.201.046.198.048.194.05.191.051.187.053.183.054.18.056.175.057.172.059.168.06.163.061.16.063.155.064.15.066.074.033.073.033.071.034.07.034.069.035.068.035.067.035.066.035.064.036.064.036.062.036.06.036.06.037.058.037.058.037.055.038.055.038.053.038.052.038.051.039.05.039.048.039.047.039.045.04.044.04.043.04.041.04.04.041.039.041.037.041.036.041.034.041.033.042.032.042.03.042.029.042.027.042.026.043.024.043.023.043.021.043.02.043.018.044.017.043.015.044.013.044.012.044.011.045.009.044.007.045.006.045.004.045.002.045.001.045v17l-.001.045-.002.045-.004.045-.006.045-.007.045-.009.044-.011.045-.012.044-.013.044-.015.044-.017.043-.018.044-.02.043-.021.043-.023.043-.024.043-.026.043-.027.042-.029.042-.03.042-.032.042-.033.042-.034.041-.036.041-.037.041-.039.041-.04.041-.041.04-.043.04-.044.04-.045.04-.047.039-.048.039-.05.039-.051.039-.052.038-.053.038-.055.038-.055.038-.058.037-.058.037-.06.037-.06.036-.062.036-.064.036-.064.036-.066.035-.067.035-.068.035-.069.035-.07.034-.071.034-.073.033-.074.033-.15.066-.155.064-.16.063-.163.061-.168.06-.172.059-.175.057-.18.056-.183.054-.187.053-.191.051-.194.05-.198.048-.201.046-.205.045-.208.043-.211.041-.214.04-.217.038-.22.036-.223.034-.225.032-.229.031-.231.028-.233.027-.236.024-.239.023-.241.02-.242.019-.246.016-.247.015-.249.012-.251.01-.253.008-.255.005-.256.004-.258.001-.258-.001-.256-.004-.255-.005-.253-.008-.251-.01-.249-.012-.247-.015-.245-.016-.243-.019-.241-.02-.238-.023-.236-.024-.234-.027-.231-.028-.228-.031-.226-.032-.223-.034-.22-.036-.217-.038-.214-.04-.211-.041-.208-.043-.204-.045-.201-.046-.198-.048-.195-.05-.19-.051-.187-.053-.184-.054-.179-.056-.176-.057-.172-.059-.167-.06-.164-.061-.159-.063-.155-.064-.151-.066-.074-.033-.072-.033-.072-.034-.07-.034-.069-.035-.068-.035-.067-.035-.066-.035-.064-.036-.063-.036-.062-.036-.061-.036-.06-.037-.058-.037-.057-.037-.056-.038-.055-.038-.053-.038-.052-.038-.051-.039-.049-.039-.049-.039-.046-.039-.046-.04-.044-.04-.043-.04-.041-.04-.04-.041-.039-.041-.037-.041-.036-.041-.034-.041-.033-.042-.032-.042-.03-.042-.029-.042-.027-.042-.026-.043-.024-.043-.023-.043-.021-.043-.02-.043-.018-.044-.017-.043-.015-.044-.013-.044-.012-.044-.011-.045-.009-.044-.007-.045-.006-.045-.004-.045-.002-.045-.001-.045v-17l.001-.045.002-.045.004-.045.006-.045.007-.045.009-.044.011-.045.012-.044.013-.044.015-.044.017-.043.018-.044.02-.043.021-.043.023-.043.024-.043.026-.043.027-.042.029-.042.03-.042.032-.042.033-.042.034-.041.036-.041.037-.041.039-.041.04-.041.041-.04.043-.04.044-.04.046-.04.046-.039.049-.039.049-.039.051-.039.052-.038.053-.038.055-.038.056-.038.057-.037.058-.037.06-.037.061-.036.062-.036.063-.036.064-.036.066-.035.067-.035.068-.035.069-.035.07-.034.072-.034.072-.033.074-.033.151-.066.155-.064.159-.063.164-.061.167-.06.172-.059.176-.057.179-.056.184-.054.187-.053.19-.051.195-.05.198-.048.201-.046.204-.045.208-.043.211-.041.214-.04.217-.038.22-.036.223-.034.226-.032.228-.031.231-.028.234-.027.236-.024.238-.023.241-.02.243-.019.245-.016.247-.015.249-.012.251-.01.253-.008.255-.005.256-.004.258-.001.258.001zm-9.258 20.499v.01l.001.021.003.021.004.022.005.021.006.022.007.022.009.023.01.022.011.023.012.023.013.023.015.023.016.024.017.023.018.024.019.024.021.024.022.025.023.024.024.025.052.049.056.05.061.051.066.051.07.051.075.051.079.052.084.052.088.052.092.052.097.052.102.051.105.052.11.052.114.051.119.051.123.051.127.05.131.05.135.05.139.048.144.049.147.047.152.047.155.047.16.045.163.045.167.043.171.043.176.041.178.041.183.039.187.039.19.037.194.035.197.035.202.033.204.031.209.03.212.029.216.027.219.025.222.024.226.021.23.02.233.018.236.016.24.015.243.012.246.01.249.008.253.005.256.004.259.001.26-.001.257-.004.254-.005.25-.008.247-.011.244-.012.241-.014.237-.016.233-.018.231-.021.226-.021.224-.024.22-.026.216-.027.212-.028.21-.031.205-.031.202-.034.198-.034.194-.036.191-.037.187-.039.183-.04.179-.04.175-.042.172-.043.168-.044.163-.045.16-.046.155-.046.152-.047.148-.048.143-.049.139-.049.136-.05.131-.05.126-.05.123-.051.118-.052.114-.051.11-.052.106-.052.101-.052.096-.052.092-.052.088-.053.083-.051.079-.052.074-.052.07-.051.065-.051.06-.051.056-.05.051-.05.023-.024.023-.025.021-.024.02-.024.019-.024.018-.024.017-.024.015-.023.014-.024.013-.023.012-.023.01-.023.01-.022.008-.022.006-.022.006-.022.004-.022.004-.021.001-.021.001-.021v-4.127l-.077.055-.08.053-.083.054-.085.053-.087.052-.09.052-.093.051-.095.05-.097.05-.1.049-.102.049-.105.048-.106.047-.109.047-.111.046-.114.045-.115.045-.118.044-.12.043-.122.042-.124.042-.126.041-.128.04-.13.04-.132.038-.134.038-.135.037-.138.037-.139.035-.142.035-.143.034-.144.033-.147.032-.148.031-.15.03-.151.03-.153.029-.154.027-.156.027-.158.026-.159.025-.161.024-.162.023-.163.022-.165.021-.166.02-.167.019-.169.018-.169.017-.171.016-.173.015-.173.014-.175.013-.175.012-.177.011-.178.01-.179.008-.179.008-.181.006-.182.005-.182.004-.184.003-.184.002h-.37l-.184-.002-.184-.003-.182-.004-.182-.005-.181-.006-.179-.008-.179-.008-.178-.01-.176-.011-.176-.012-.175-.013-.173-.014-.172-.015-.171-.016-.17-.017-.169-.018-.167-.019-.166-.02-.165-.021-.163-.022-.162-.023-.161-.024-.159-.025-.157-.026-.156-.027-.155-.027-.153-.029-.151-.03-.15-.03-.148-.031-.146-.032-.145-.033-.143-.034-.141-.035-.14-.035-.137-.037-.136-.037-.134-.038-.132-.038-.13-.04-.128-.04-.126-.041-.124-.042-.122-.042-.12-.044-.117-.043-.116-.045-.113-.045-.112-.046-.109-.047-.106-.047-.105-.048-.102-.049-.1-.049-.097-.05-.095-.05-.093-.052-.09-.051-.087-.052-.085-.053-.083-.054-.08-.054-.077-.054v4.127zm0-5.654v.011l.001.021.003.021.004.021.005.022.006.022.007.022.009.022.01.022.011.023.012.023.013.023.015.024.016.023.017.024.018.024.019.024.021.024.022.024.023.025.024.024.052.05.056.05.061.05.066.051.07.051.075.052.079.051.084.052.088.052.092.052.097.052.102.052.105.052.11.051.114.051.119.052.123.05.127.051.131.05.135.049.139.049.144.048.147.048.152.047.155.046.16.045.163.045.167.044.171.042.176.042.178.04.183.04.187.038.19.037.194.036.197.034.202.033.204.032.209.03.212.028.216.027.219.025.222.024.226.022.23.02.233.018.236.016.24.014.243.012.246.01.249.008.253.006.256.003.259.001.26-.001.257-.003.254-.006.25-.008.247-.01.244-.012.241-.015.237-.016.233-.018.231-.02.226-.022.224-.024.22-.025.216-.027.212-.029.21-.03.205-.032.202-.033.198-.035.194-.036.191-.037.187-.039.183-.039.179-.041.175-.042.172-.043.168-.044.163-.045.16-.045.155-.047.152-.047.148-.048.143-.048.139-.05.136-.049.131-.05.126-.051.123-.051.118-.051.114-.052.11-.052.106-.052.101-.052.096-.052.092-.052.088-.052.083-.052.079-.052.074-.051.07-.052.065-.051.06-.05.056-.051.051-.049.023-.025.023-.024.021-.025.02-.024.019-.024.018-.024.017-.024.015-.023.014-.023.013-.024.012-.022.01-.023.01-.023.008-.022.006-.022.006-.022.004-.021.004-.022.001-.021.001-.021v-4.139l-.077.054-.08.054-.083.054-.085.052-.087.053-.09.051-.093.051-.095.051-.097.05-.1.049-.102.049-.105.048-.106.047-.109.047-.111.046-.114.045-.115.044-.118.044-.12.044-.122.042-.124.042-.126.041-.128.04-.13.039-.132.039-.134.038-.135.037-.138.036-.139.036-.142.035-.143.033-.144.033-.147.033-.148.031-.15.03-.151.03-.153.028-.154.028-.156.027-.158.026-.159.025-.161.024-.162.023-.163.022-.165.021-.166.02-.167.019-.169.018-.169.017-.171.016-.173.015-.173.014-.175.013-.175.012-.177.011-.178.009-.179.009-.179.007-.181.007-.182.005-.182.004-.184.003-.184.002h-.37l-.184-.002-.184-.003-.182-.004-.182-.005-.181-.007-.179-.007-.179-.009-.178-.009-.176-.011-.176-.012-.175-.013-.173-.014-.172-.015-.171-.016-.17-.017-.169-.018-.167-.019-.166-.02-.165-.021-.163-.022-.162-.023-.161-.024-.159-.025-.157-.026-.156-.027-.155-.028-.153-.028-.151-.03-.15-.03-.148-.031-.146-.033-.145-.033-.143-.033-.141-.035-.14-.036-.137-.036-.136-.037-.134-.038-.132-.039-.13-.039-.128-.04-.126-.041-.124-.042-.122-.043-.12-.043-.117-.044-.116-.044-.113-.046-.112-.046-.109-.046-.106-.047-.105-.048-.102-.049-.1-.049-.097-.05-.095-.051-.093-.051-.09-.051-.087-.053-.085-.052-.083-.054-.08-.054-.077-.054v4.139zm0-5.666v.011l.001.02.003.022.004.021.005.022.006.021.007.022.009.023.01.022.011.023.012.023.013.023.015.023.016.024.017.024.018.023.019.024.021.025.022.024.023.024.024.025.052.05.056.05.061.05.066.051.07.051.075.052.079.051.084.052.088.052.092.052.097.052.102.052.105.051.11.052.114.051.119.051.123.051.127.05.131.05.135.05.139.049.144.048.147.048.152.047.155.046.16.045.163.045.167.043.171.043.176.042.178.04.183.04.187.038.19.037.194.036.197.034.202.033.204.032.209.03.212.028.216.027.219.025.222.024.226.021.23.02.233.018.236.017.24.014.243.012.246.01.249.008.253.006.256.003.259.001.26-.001.257-.003.254-.006.25-.008.247-.01.244-.013.241-.014.237-.016.233-.018.231-.02.226-.022.224-.024.22-.025.216-.027.212-.029.21-.03.205-.032.202-.033.198-.035.194-.036.191-.037.187-.039.183-.039.179-.041.175-.042.172-.043.168-.044.163-.045.16-.045.155-.047.152-.047.148-.048.143-.049.139-.049.136-.049.131-.051.126-.05.123-.051.118-.052.114-.051.11-.052.106-.052.101-.052.096-.052.092-.052.088-.052.083-.052.079-.052.074-.052.07-.051.065-.051.06-.051.056-.05.051-.049.023-.025.023-.025.021-.024.02-.024.019-.024.018-.024.017-.024.015-.023.014-.024.013-.023.012-.023.01-.022.01-.023.008-.022.006-.022.006-.022.004-.022.004-.021.001-.021.001-.021v-4.153l-.077.054-.08.054-.083.053-.085.053-.087.053-.09.051-.093.051-.095.051-.097.05-.1.049-.102.048-.105.048-.106.048-.109.046-.111.046-.114.046-.115.044-.118.044-.12.043-.122.043-.124.042-.126.041-.128.04-.13.039-.132.039-.134.038-.135.037-.138.036-.139.036-.142.034-.143.034-.144.033-.147.032-.148.032-.15.03-.151.03-.153.028-.154.028-.156.027-.158.026-.159.024-.161.024-.162.023-.163.023-.165.021-.166.02-.167.019-.169.018-.169.017-.171.016-.173.015-.173.014-.175.013-.175.012-.177.01-.178.01-.179.009-.179.007-.181.006-.182.006-.182.004-.184.003-.184.001-.185.001-.185-.001-.184-.001-.184-.003-.182-.004-.182-.006-.181-.006-.179-.007-.179-.009-.178-.01-.176-.01-.176-.012-.175-.013-.173-.014-.172-.015-.171-.016-.17-.017-.169-.018-.167-.019-.166-.02-.165-.021-.163-.023-.162-.023-.161-.024-.159-.024-.157-.026-.156-.027-.155-.028-.153-.028-.151-.03-.15-.03-.148-.032-.146-.032-.145-.033-.143-.034-.141-.034-.14-.036-.137-.036-.136-.037-.134-.038-.132-.039-.13-.039-.128-.041-.126-.041-.124-.041-.122-.043-.12-.043-.117-.044-.116-.044-.113-.046-.112-.046-.109-.046-.106-.048-.105-.048-.102-.048-.1-.05-.097-.049-.095-.051-.093-.051-.09-.052-.087-.052-.085-.053-.083-.053-.08-.054-.077-.054v4.153zm8.74-8.179l-.257.004-.254.005-.25.008-.247.011-.244.012-.241.014-.237.016-.233.018-.231.021-.226.022-.224.023-.22.026-.216.027-.212.028-.21.031-.205.032-.202.033-.198.034-.194.036-.191.038-.187.038-.183.04-.179.041-.175.042-.172.043-.168.043-.163.045-.16.046-.155.046-.152.048-.148.048-.143.048-.139.049-.136.05-.131.05-.126.051-.123.051-.118.051-.114.052-.11.052-.106.052-.101.052-.096.052-.092.052-.088.052-.083.052-.079.052-.074.051-.07.052-.065.051-.06.05-.056.05-.051.05-.023.025-.023.024-.021.024-.02.025-.019.024-.018.024-.017.023-.015.024-.014.023-.013.023-.012.023-.01.023-.01.022-.008.022-.006.023-.006.021-.004.022-.004.021-.001.021-.001.021.001.021.001.021.004.021.004.022.006.021.006.023.008.022.01.022.01.023.012.023.013.023.014.023.015.024.017.023.018.024.019.024.02.025.021.024.023.024.023.025.051.05.056.05.06.05.065.051.07.052.074.051.079.052.083.052.088.052.092.052.096.052.101.052.106.052.11.052.114.052.118.051.123.051.126.051.131.05.136.05.139.049.143.048.148.048.152.048.155.046.16.046.163.045.168.043.172.043.175.042.179.041.183.04.187.038.191.038.194.036.198.034.202.033.205.032.21.031.212.028.216.027.22.026.224.023.226.022.231.021.233.018.237.016.241.014.244.012.247.011.25.008.254.005.257.004.26.001.26-.001.257-.004.254-.005.25-.008.247-.011.244-.012.241-.014.237-.016.233-.018.231-.021.226-.022.224-.023.22-.026.216-.027.212-.028.21-.031.205-.032.202-.033.198-.034.194-.036.191-.038.187-.038.183-.04.179-.041.175-.042.172-.043.168-.043.163-.045.16-.046.155-.046.152-.048.148-.048.143-.048.139-.049.136-.05.131-.05.126-.051.123-.051.118-.051.114-.052.11-.052.106-.052.101-.052.096-.052.092-.052.088-.052.083-.052.079-.052.074-.051.07-.052.065-.051.06-.05.056-.05.051-.05.023-.025.023-.024.021-.024.02-.025.019-.024.018-.024.017-.023.015-.024.014-.023.013-.023.012-.023.01-.023.01-.022.008-.022.006-.023.006-.021.004-.022.004-.021.001-.021.001-.021-.001-.021-.001-.021-.004-.021-.004-.022-.006-.021-.006-.023-.008-.022-.01-.022-.01-.023-.012-.023-.013-.023-.014-.023-.015-.024-.017-.023-.018-.024-.019-.024-.02-.025-.021-.024-.023-.024-.023-.025-.051-.05-.056-.05-.06-.05-.065-.051-.07-.052-.074-.051-.079-.052-.083-.052-.088-.052-.092-.052-.096-.052-.101-.052-.106-.052-.11-.052-.114-.052-.118-.051-.123-.051-.126-.051-.131-.05-.136-.05-.139-.049-.143-.048-.148-.048-.152-.048-.155-.046-.16-.046-.163-.045-.168-.043-.172-.043-.175-.042-.179-.041-.183-.04-.187-.038-.191-.038-.194-.036-.198-.034-.202-.033-.205-.032-.21-.031-.212-.028-.216-.027-.22-.026-.224-.023-.226-.022-.231-.021-.233-.018-.237-.016-.241-.014-.244-.012-.247-.011-.25-.008-.254-.005-.257-.004-.26-.001-.26.001z' transform='scale(.5)'/%3e%3c/symbol%3e%3c/defs%3e%3cdefs%3e%3csymbol height='24' width='24' id='clock'%3e%3cpath d='M12 2c5.514 0 10 4.486 10 10s-4.486 10-10 10-10-4.486-10-10 4.486-10 10-10zm0-2c-6.627 0-12 5.373-12 12s5.373 12 12 12 12-5.373 12-12-5.373-12-12-12zm5.848 12.459c.202.038.202.333.001.372-1.907.361-6.045 1.111-6.547 1.111-.719 0-1.301-.582-1.301-1.301 0-.512.77-5.447 1.125-7.445.034-.192.312-.181.343.014l.985 6.238 5.394 1.011z' transform='scale(.5)'/%3e%3c/symbol%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto-start-reverse' markerHeight='12' markerWidth='12' markerUnits='userSpaceOnUse' refY='5' refX='7.9' id='arrowhead'%3e%3cpath d='M -1 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker refY='4.5' refX='4' orient='auto' markerHeight='8' markerWidth='15' id='crosshead'%3e%3cpath style='stroke-dasharray: 0%2c 0%3b' d='M 1%2c2 L 6%2c7 M 6%2c2 L 1%2c7' stroke-width='1pt' stroke='black' fill='none'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='28' markerWidth='20' refY='7' refX='15.5' id='filled-head'%3e%3cpath d='M 18%2c7 L9%2c13 L14%2c7 L9%2c1 Z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='40' markerWidth='60' refY='15' refX='15' id='sequencenumber'%3e%3ccircle r='6' cy='15' cx='15'/%3e%3c/marker%3e%3c/defs%3e%3cg name='usu%c3%a1rio' class='actor-man actor-top'%3e%3cline y2='45' x2='75' y1='25' x1='75' id='actor-man-torso0'/%3e%3cline y2='33' x2='93' y1='33' x1='57' id='actor-man-arms0'/%3e%3cline y2='45' x2='75' y1='60' x1='57'/%3e%3cline y2='60' x2='91' y1='45' x1='75'/%3e%3ccircle height='65' width='150' r='15' cy='10' cx='75'/%3e%3ctext style='text-anchor: middle%3b font-size: 16px%3b font-weight: 400%3b font-family: arial%2c sans-serif%3b' class='actor actor-man' alignment-baseline='central' dominant-baseline='central' y='67.5' x='75'%3e%3ctspan dy='0' x='75'%3eUsu%c3%a1rio Final%3c/tspan%3e%3c/text%3e%3c/g%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='80' x='207'%3evisiteante an%c3%b4nimo faz login%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='109' x2='338' y1='109' x1='76'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='124' x='616'%3eenvia solicita%c3%a7%c3%a3o de autentica%c3%a7%c3%a3o%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='153' x2='888' y1='153' x1='343'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='168' x='485'%3eredireciona para a p%c3%a1gina de login do usu%c3%a1rio%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='197' x2='79' y1='197' x1='891'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='212' x='482'%3efaz login com credenciais%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='241' x2='888' y1='241' x1='76'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='256' x='619'%3eredireciona de volta ao aplicativo do cliente com authorization_code%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='287' x2='346' y1='287' x1='891'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='302' x='616'%3esolicita%c3%a7%c3%a3o de troca de token com o authorization_code%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='333' x2='888' y1='333' x1='343'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='348' x='619'%3econcede id_token%2c access_token e refresh_token%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='379' x2='346' y1='379' x1='891'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='394' x='210'%3eautenticado%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='423' x2='79' y1='423' x1='341'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='438' x='761'%3esolicita%c3%a7%c3%a3o de API privada com access_token%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='469' x2='1178' y1='469' x1='343'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='484' x='1037'%3esincroniza chave de assinatura%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' stroke='none' stroke-width='2' class='messageLine1' y2='513' x2='893' y1='513' x1='1181'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='528' x='1183'%3evalida%c3%a7%c3%a3o do token%3c/text%3e%3cpath style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' d='M 1183%2c557 C 1243%2c547 1243%2c587 1183%2c577'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='602' x='764'%3e200 OK%3c/text%3e%3cline style='fill: none%3b' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='631' x2='346' y1='631' x1='1181'/%3e%3cg name='usu%c3%a1rio' class='actor-man actor-bottom'%3e%3cline y2='696' x2='75' y1='676' x1='75' id='actor-man-torso3'/%3e%3cline y2='684' x2='93' y1='684' x1='57' id='actor-man-arms3'/%3e%3cline y2='696' x2='75' y1='711' x1='57'/%3e%3cline y2='711' x2='91' y1='696' x1='75'/%3e%3ccircle height='65' width='150' r='15' cy='661' cx='75'/%3e%3ctext style='text-anchor: middle%3b font-size: 16px%3b font-weight: 400%3b font-family: arial%2c sans-serif%3b' class='actor actor-man' alignment-baseline='central' dominant-baseline='central' y='718.5' x='75'%3e%3ctspan dy='0' x='75'%3eUsu%c3%a1rio Final%3c/tspan%3e%3c/text%3e%3c/g%3e%3c/svg%3e)
Fluxo de autenticação
- Usuário inicia a solicitação de login: Um usuário anônimo chega ao seu aplicativo a partir de uma entrada pública. Tenta se autenticar e talvez solicitar mais acesso a um recurso protegido em um aplicativo ou serviço de terceiros.
- Autenticação do usuário: O aplicativo do cliente gera um URI de autenticação e envia uma solicitação para o servidor de autorização, que redireciona o usuário para sua página de login. O usuário interage com a página de login usando uma variedade de métodos de login e é autenticado pelo servidor de autorização.
- Manusear callback de login: Após uma autenticação bem-sucedida, o usuário será redirecionado de volta ao seu aplicativo com um
authorization_codeconcedido. Esteauthorization_codecontém todas as permissões relevantes vinculadas ao status de autenticação e dados de autorização solicitados. - Troca de token: Solicitar troca de token usando o
authorization_codeextraído do endereço de redirecionamento acima. Em retorno:id_token: Um JWT assinado digitalmente que contém informações de identidade sobre o usuário autenticado.access_token: Umaccess_tokenopaco que pode ser usado para acessar o endpoint de informações básicas do usuário.refresh_token: Token de credencial que permite ao usuário manter a troca contínua de umaccess_token
Fluxo de autorização
- Acessando informações do usuário: Para acessar mais informações do usuário, o aplicativo pode fazer solicitações adicionais ao endpoint UserInfo, utilizando o
access_tokenopaco obtido no fluxo de troca de token inicial. Isso permite a recuperação de detalhes adicionais sobre o usuário, como seu endereço de e-mail ou foto de perfil. - Concedendo acesso ao recurso protegido: Se necessário, o aplicativo pode fazer solicitações adicionais ao endpoint de troca de token, utilizando o
refresh_tokencombinado com os parâmetrosresourceescope, para obter umaccess_tokendedicado para o usuário acessar o recurso alvo. Este processo resulta na emissão de umaccess_tokenformatado JWT contendo todas as informações de autorização necessárias para acessar o recurso protegido.
Implementação
Vamos seguir algumas estratégias de design dentro do nosso SDK JavaScript @logto/client para demonstrar o processo de implementação de um SDK simples para o seu próprio aplicativo do cliente. Por favor, tenha em mente que a estrutura de código detalhada pode variar dependendo do framework do cliente com o qual você está trabalhando. Sinta-se à vontade para escolher qualquer um dos SDKs oficiais do Logto como exemplo para o seu próprio projeto SDK.
Visualização
Construtor
O construtor deve receber um logtoConfig como entrada. Isso fornece todas as configurações necessárias para você estabelecer uma conexão de autenticação através deste SDK.
Dependendo da plataforma ou framework que você está usando para o SDK, você pode passar uma instância de armazenamento local persistente para o construtor. Esta instância de armazenamento será usada para armazenar todos os tokens e segredos relacionados à autorização.
Inicializar a autenticação do usuário
Antes de gerar um URL de solicitação de autenticação, é essencial concluir várias etapas de preparação para garantir um processo seguro.
Obter configurações OIDC do servidor de autorização
Definir um método privado `getOidcConfigs`` para obter as configurações OIDC do endpoint de descoberta do servidor de autorização. A resposta das configurações OIDC contém todas as informações de metadados que o cliente pode usar para interagir com o servidor de autorização, incluindo suas localizações de endpoints e as capacidades do servidor. (Consulte OAuth OAuth Authorization Server Metadata Specs para obter mais detalhes.)
Gerador PKCE
Um fluxo de validação PKCE(Proof Key for Code Exchange) é essencial para todas as trocas de código de autorização do cliente público. Ele atenua o risco do ataque de interceptação de authorization_code. Portanto, um code_challenge e code_verifier são necessários para todas as solicitações de autorização de aplicações cliente público (por exemplo, aplicativo nativo e SPA).
Os métodos de implementação podem variar dependendo das linguagens e frameworks que você está usando. Consulte a especificação code_challenge e code_verifier para as definições detalhadas.
Gerar parâmetro state
No fluxo de autorização, o parâmetro state é um valor gerado aleatoriamente que é incluído na solicitação de autorização enviada pelo cliente. Ele atua como uma medida de segurança para prevenir ataques de falsificação de solicitação inter-sites (CSRF).
Armazenar informações da sessão intermediária
Existem vários parâmetros que precisam ser preservados no armazenamento para fins de validação depois que o usuário se autenticar e for redirecionado de volta ao lado do cliente. Vamos implementar um método para definir esses parâmetros intermediários no armazenamento.
Login
Vamos reunir tudo implementado acima, definir um método que gera um URL de login do usuário e redireciona o usuário para o servidor de autorização para se autenticar.
Lidar com o callback de login do usuário
Na seção anterior, criamos um método de login que gera uma URL para a autenticação do usuário. Esta URL contém todos os parâmetros necessários necessários para iniciar um fluxo de autenticação a partir de um aplicativo cliente. O método redireciona o usuário para a página de login do servidor de autorização para autenticação. Após um login bem-sucedido, o usuário final será redirecionado de volta para a localização de redirect_uri fornecida acima. Todos os parâmetros necessários serão carregados no redirect_uri para completar os seguintes fluxos de troca de token.
Extrair e verificar o URL de callback
Esta etapa de validação é extremamente importante para prevenir qualquer forma de ataque forjado ao callback de autorização. O URL de callback DEVE ser cuidadosamente verificado antes de enviar uma solicitação de troca de código adicional ao servidor de autorização. Primeiramente, precisamos recuperar os dados de signInSession que armazenamos do armazenamento do aplicativo.
Então verifique o parâmetro URL do callback antes de enviar a solicitação de troca de token.
- Use o
redirectUriarmazenado previamente para verificar se ocallbackUrié o mesmo que enviamos para o servidor de autorização. - Use o
statearmazenado previamente para verificar se o estado retornado é o mesmo que enviamos para o servidor de autorização. - Verifique se há algum erro retornado pelo servidor de autorização
- Verifique a existência do
authorization_coderetornado
Enviar a solicitação de troca de código
Como a etapa final do fluxo de autenticação do usuário, usaremos o authorization_code retornado para enviar uma solicitação de troca de token e obter os tokens de autorização necessários. Para mais detalhes sobre as definições dos parâmetros da solicitação, consulte a especificação de troca de token.
- code: o
authorization_codeque recebemos do URI de callback - clientId: o ID do aplicativo
- redirectUri: O mesmo valor é usado ao gerar a URL de login para o usuário.
- codeVerifier: verificador de código PKCE. Semelhante ao redirectUri, o servidor de autorização irá comparar este valor com o que enviamos anteriormente, garantindo a validação da solicitação de troca de token de entrada.
Lidar com callback de login
Agrupando tudo o que temos. Vamos construir o método de manipulação do callback de login:
Como resultado, a solicitação de troca de token retornará os seguintes tokens:
id_token: OIDC idToken, um Token Web JSON (JWT) que contém informações de identidade sobre o usuário autenticado. id_token também pode ser usado como a Única Fonte de Verdade (SSOT) do status de autenticação de um usuário.access_token: O código de autorização padrão retornado pelo servidor de autorização. Pode ser usado para chamar o endpoint de informações do usuário e recuperar informações do usuário autenticado.refresh_token: (se o escopo offline_access estiver presente na solicitação de autorização): Este token de atualização permite que o aplicativo do cliente obtenha um novo access_token sem exigir que o usuário se reautentique, concedendo acesso a longo prazo aos recursos.expires_in: A duração do tempo, em segundos, para a qual o access_token é válido antes de expirar.
Verificação do token ID
Verificar e extrair alegações do id_token é uma etapa crucial no processo de autenticação para garantir a autenticidade e integridade do token. Aqui estão as principais etapas envolvidas na verificação de um idToken.
- Verificação da assinatura: O
id_tokené assinado digitalmente pelo servidor de autorização usando sua chave privada. O aplicativo do cliente precisa validar a assinatura usando a chave pública do servidor de autorização. Isso garante que o token não foi adulterado e que foi realmente emitido pelo servidor de autorização legítimo. - Verificação do emissor**:** Verifique se a alegação "iss" (emissor) no
id_tokencorresponde ao valor esperado, indicando que o token foi emitido pelo servidor de autorização correto. - Verificação de público: Certifique-se de que a alegação "aud" (público) no
id_tokencorresponde ao ID do cliente do aplicativo do cliente, garantindo que o token seja destinado ao cliente - Verificação de expiração: Verifique se a alegação "iat" (emitido em) no
id_tokennão passou do tempo atual, garantindo que o token ainda seja válido. Como há custos de transação de rede, precisamos definir uma tolerância de tempo emitida ao validar a alegação iat do token recebido.
O id_token retornado é um Token Web JSON (JWT) padrão. Dependendo do framework que você está usando, você pode encontrar vários plugins convenientes de validação de tokens JWT para auxiliar na decodificação e validação do token. Para este exemplo, vamos utilizar jose em nosso SDK JavaScript para facilitar a validação e decodificação do token.
Obter informações do usuário
Após a autenticação bem-sucedida do usuário, as informações básicas do usuário podem ser obtidas do id_token OIDC emitido pelo servidor de autorização. No entanto, por razões de desempenho, o conteúdo do token JWT é limitado. Para obter informações de perfil de usuário mais detalhadas, os servidores de autorização compatíveis com OIDC oferecem um endpoint de informações do usuário fora da caixa. Este endpoint permite que você recupere dados adicionais do perfil do usuário solicitando escopos específicos do perfil do usuário.
Ao chamar um endpoint de troca de token sem indicar um recurso de API específico, por padrão, o servidor de autorização emitirá um access_token do tipo opaco. Este access_token só pode ser usado para acessar o endpoint de informações do usuário, permitindo a recuperação de dados básicos do perfil do usuário.
Obter token de acesso para autorização de recurso protegido
Na maioria dos casos, um aplicativo cliente não só requer autenticação do usuário, mas também precisa de autorização do usuário para acessar certos recursos protegidos ou endpoints de API. Aqui, usaremos o refresh_token obtido durante o login para adquirir access_token(s) especificamente concedidos para gerenciar recursos particulares. Isso nos permite obter acesso a essas APIs protegidas.
Resumo
Fornecemos implementações de métodos essenciais para o processo de autenticação e autorização do usuário no aplicativo do lado do cliente. Dependendo do seu cenário específico, você pode organizar e otimizar a lógica do SDK de acordo. Lembre-se de que podem existir variações devido a diferentes plataformas e frameworks.
Para obter detalhes adicionais, explore os pacotes SDK oferecidos pela Logto. Incentivamos mais usuários a se juntarem ao desenvolvimento e a se envolverem em discussões conosco. Seus feedback e contribuições são altamente valorizados à medida que continuamos a aprimorar e expandir as capacidades do SDK.
Apêndice
Escopos reservados
Escopos reservados do Logto que você precisará passar durante a solicitação de autenticação inicial. Esses escopos são ou OIDC-reservados ou Logto-reservados para completar um fluxo de autorização bem-sucedido.
| Nome do escopo | Descrição |
|---|---|
| openid | Necessário para conceder id_token após uma autenticação bem-sucedida. |
| offline-access | Necessário para conceder um refresh_token que permite que seu aplicativo cliente troque e renove um access_token fora da tela. |
| profile | Necessário para obter acesso às informações básicas do usuário |
Logto Config
| Nome da propriedade | Tipo | Requerido | Descrição | Valor padrão |
|---|---|---|---|---|
| appId | string | verdadeiro | O identificador de aplicação único. Gerado pelo servidor de autorização para identificar o aplicativo cliente. | |
| appSecret | string | O segredo do aplicativo é usado, juntamente com o ID do aplicativo, para verificar a identidade do solicitante. É necessário para clientes confidenciais como aplicativos web Go ou Next.js, e opcional para clientes públicos como aplicativos nativos ou aplicativos de página única (SPAs) | ||
| endpoint | string | verdadeiro | Seu endpoint raiz do servidor de autorização. Esta propriedade será amplamente usada para gerar solicitações de autorização.endpoint. | |
| scopes | lista de strings | Indica todos os escopos de recurso necessários que o usuário pode precisar ser concedidos para acessar quaisquer recursos protegidos dados. | [reservedScopes] | |
| resources | lista de strings | Todos os indicadores de recurso protegido que o usuário pode solicitar acesso |