Português (Brasil)
  • 404-not-found
  • logto-unknown-session
  • authorization-code-flow

Por que você pode ver um erro 404 ao fazer login em um app integrado ao Logto

Você já se deparou com um erro "404 Não Encontrado" ao tentar fazer login em um app integrado ao Logto? Este post no blog explica por que isso acontece e o que você pode fazer para evitar esse problema.

Charles
Charles
Developer

Pare de perder semanas com autenticação de usuários
Lance aplicativos seguros mais rapidamente com o Logto. Integre a autenticação de usuários em minutos e concentre-se no seu produto principal.
Começar
Product screenshot

Contexto

Você já tentou fazer login em um app que usa o Logto para autenticação e encontrou um erro "404 não encontrado"? Algum dos seus usuários finais já relatou o mesmo problema?

Captura de tela do erro 404 Logto session not found

Isso pode acontecer quando você acessa diretamente a página de login (por exemplo, https://your-app.com/sign-in) sem passar pelo fluxo de autenticação recomendado pelo seu aplicativo.

Veja o motivo:

A importância do fluxo OIDC

O Logto depende do protocolo OpenID Connect (OIDC) para uma autenticação segura. Quando você faz login através do fluxo normal do aplicativo (normalmente clicando no botão de login fornecido pelo app), o aplicativo inicia uma comunicação com o servidor OIDC do Logto. Essa comunicação, chamada de "solicitação de autorização", é importante porque realiza várias validações contra quem está tentando autenticar, além de estabelecer uma sessão segura entre o seu navegador e o servidor (gerenciada por cookies).

O problema ocorre quando os usuários navegam diretamente até a página “/sign-in”, pois isso ignora a lógica interna do app que dispara a solicitação de autorização OIDC. Consequentemente, o servidor não reconhece que o seu navegador possui uma sessão válida, e por isso aparece o erro 404.

A solução

Há duas formas principais de evitar esse problema:

Sempre use o botão de login do app

Em vez de acessar diretamente a página "/sign-in", siga o fluxo de autenticação proposto pela aplicação. Quando você clica no botão "Entrar" dentro do app, isso inicia a solicitação OIDC corretamente e estabelece a sessão necessária.

Redirecione automaticamente os usuários

Se você tiver apenas um aplicativo na sua instância do Logto, pode implementar a lógica para interceptar automaticamente tentativas de acesso à página "/sign-in" sem sessão válida, redirecionando essas pessoas de volta para a página principal, onde há um botão de login disponível.

Para lidar com isso, o Logto adicionou uma configuração chamada “URL de redirecionamento para sessão desconhecida”. Ao definir essa URL, o Logto redirecionará automaticamente os usuários para a página especificada em vez de mostrar o erro 404. Por exemplo, você pode redirecioná-los para a página inicial do seu app ou para uma tela personalizada de login. Após o redirecionamento, seu app cliente deve iniciar um novo fluxo de login.

Para configurar isso, acesse o Logto Console em Logto Cloud > Sign-in experience > Sign-up and sign-in > Advanced options e informe a URL de fallback desejada.

Por exemplo, no Logto Cloud isso é definido como https://cloud.logto.io/. Depois de configurado, usuários que acessarem /sign-in sem sessão válida serão enviados para esse endereço para reiniciar a autenticação.

Pensamentos adicionais sobre melhoria da experiência

Estamos buscando melhorar a experiência do usuário, pelo menos adicionando mensagens úteis na página "/unknown-session" explicando o motivo do erro 404 e orientando as pessoas sobre o que fazer, evitando que fiquem confusas ou sem saber como proceder. Por exemplo, o Logto permite personalizar e-mail de suporte e endereço do site nas páginas de erro de login, assim usuários que encontrarem um erro verão seus dados de contato e poderão pedir ajuda.

Também consideramos implementar outras medidas de segurança para minimizar esse problema, como redirecionar automaticamente para a "Sign-out redirect URI" (normalmente a página inicial do app) quando apenas um aplicativo for detectado para a instância atual do Logto, ou adicionar uma configuração extra para exibir uma mensagem personalizada nesses casos.

Conclusão

O erro 404 não encontrado (sessão inválida) na página "/sign-in" geralmente é causado por acessar diretamente a URL da página de login, o que ignora o fluxo normal de autenticação do app e não dispara a solicitação de autorização — por isso, nenhuma sessão válida (gerenciada por cookies) é criada.

Ao entender esse fluxo e sua importância, você consegue evitar esse erro e aproveitar uma experiência de login mais tranquila em seu app integrado ao Logto.

Fique à vontade para entrar em contato conosco caso queira compartilhar suas ideias.