Хотя Logto предоставляет веб-консоль для управления идентификациями, использование управляющего API является мощной альтернативой, если вы хотите автоматизировать свой рабочий процесс или получить программный доступ к Logto. Это руководство проведет вас через шаги по использованию управляющего API Logto в различных сценариях. ## Обзор Вы можете заметить, что в Logto Console есть встроенный ресурс API "Управляющее API Logto". Он будет ключевой фигурой в этом руководстве. По сравнению с другими ресурсами API, в настоящее время управляющее API Logto не позволяет прямой доступ со стороны конечных пользователей, так как он предназначен для связи между машинами, и оно настолько мощно, что может использоваться для управления вашей учетной записью и ресурсами Logto. Вот несколько типичных сценариев, в которых вы можете захотеть использовать управляющее API Logto: **CI/CD** ```mermaid graph LR CI(Задание непрерывной интеграции) <-->|Создать нового пользователя| L(Управляющее API Logto) ``` **Коммуникация между сервисами** ```mermaid graph LR B(Сервис на бекенде) <-->|Поиск пользователей| L(Управляющее API Logto) ``` **Одностраничное приложение** ```mermaid graph LR F(Фронтенд) -->|1 Список заказов| B(Сервис на бекенде) B <-->|2 Найти заказы| D(База данных) B <-->|3 Поиск пользователей, связанных с заказами| L(Управляющее API Logto) B -->|4 Комбинированный ответ| F ``` **Веб-сервер, который рендерит HTML** ```mermaid graph LR W(Веб-сервер) <-->|Поиск пользователей| L(Управляющее API Logto) ``` ## Архитектура Независимо от сценариев, есть два шаблона, которые вы можете использовать для доступа к управляющему API Logto. **Шаблон 1: Прямой доступ** В этом шаблоне ваш клиент или сервис будет напрямую получать доступ к управляющему API Logto. В Logto клиент или сервис называется "приложением для связи между машинами". Пример использования сервиса на бекенде: ```mermaid graph LR B(Сервис на бекенде) <-->|Используя учетные данные клиента| L(Управляющее API Logto) ``` **Шаблон 2: Косвенный доступ** В этом шаблоне ваш клиент или сервис будет получать доступ к управляющему API Logto через сервис на бекенде. Шаблон 2 построен на основе шаблона 1, в котором участвует другое приложение. Новым приложением может быть традиционное веб-приложение, нативное приложение или одностраничное приложение, которое будет получать доступ к сервису на бекенде. Пример использования одностраничного приложения: ```mermaid graph LR S(Одностраничное приложение) -->|Запрос с токеном доступа| B(Сервис на бекенде) <-->|Используя учетные данные клиента| L(Управляющее API Logto) B -->|Ответ с данными| S ``` Этот шаблон полезен, когда вы хотите иметь пользовательскую логику, чтобы контролировать доступ к управляющему API Logto. Например, вы можете захотеть вернуть все заказы для потребителя и прикрепить информацию о продавце к каждому заказу. В этом случае вы можете использовать одностраничное приложение для запроса сервиса на бекенде, чтобы получить заказы, и в сервисе на бекенде вы можете использовать управляющее API Logto, чтобы получить информацию о продавце. ## Доступ к управляющему API Logto ### Создайте приложение для связи между машинами Сначала вам нужно создать приложение для связи между машинами в Logto Console. Перейдите на вкладку "Приложения" и нажмите кнопку "Создать приложение". Затем нажмите "Начать создание" в карточке "Связь между машинами". ### Настройте роль для связи между машинами Чтобы получить доступ к управляющему API Logto, вам нужно создать роль для связи между машинами с соответствующими разрешениями. В Logto Console перейдите на вкладку "Роли" и нажмите кнопку "Создать роль". Нажмите "Показать больше опций" и выберите "Роль приложения связи между машинами" в разделе "Тип роли". Теперь вы можете увидеть, что "Управляющее API Logto" появляется в разделе "Назначить разрешения". Отметьте ресурс API для всех разрешений и нажмите кнопку "Создать роль". Как только роль создана, вы можете назначить её приложению для связи между машинами, которое вы создали на предыдущем шаге. В настоящее время управляющее API Logto имеет только одно разрешение all, которое позволяет выполнять все операции. Мы работаем над добавлением более детальных разрешений. ### Получите токен доступа Вы можете следовать шагам в [этой статье](https://docs.logto.io/docs/recipes/integrate-logto/machine-to-machine/), чтобы получить токен доступа через предоставление учетных данных клиента для вашего приложения связи между машинами. Протестируйте токен доступа, отправив запрос к конечной точке в управляющем API Logto. Теперь вы готовы к шаблону 1. Обратите внимание, что токен доступа действителен в течение короткого периода времени, поэтому, если вы хотите его кэшировать, вам, возможно, потребуется его периодически обновлять. ## Добавьте дополнительный слой Хотя доступ к управляющему API Logto не разрешен для конечных пользователей, вы можете добавить дополнительный слой, чтобы использовать мощь управляющего API Logto и позволить ему расширить возможности вашего сервиса. Например, вы создаете онлайн-сообщество с одностраничным приложением и сервисом на бекенде. Вы можете захотеть иметь функцию, которая позволяет вошедшим в систему пользователям видеть 10 лучших пользователей, у которых больше всего подписчиков. Будет создана конечная точка `GET /api/top-users`: ```mermaid graph LR S(Одностраничное приложение) --> E(GET /api/top-users) subgraph Сервис на бекенде E end ``` Чтобы убедиться, что конечная точка доступна только для вошедших в систему пользователей, вы можете создать "одностраничное приложение" в Logto Console и [интегрировать Logto SDK](https://docs.logto.io/docs/recipes/integrate-logto/) в это приложение. Затем вы можете использовать SDK, чтобы получить токен доступа и отправить запрос к конечной точке: ```mermaid graph LR S(Одностраничное приложение) -->|1 Запрос с токеном доступа| E(GET /api/top-users) subgraph Сервис на бекенде E end ``` В сервисе на бекенде вы можете сначала запросить 10 лучших пользователей из базы данных, а затем использовать управляющее API Logto, чтобы получить информацию о пользователях: ```mermaid graph LR E(GET /api/top-users) <-->|2 Запрос 10 лучших пользователей| D(База данных) E <-->|3 Получение информации о пользователях по идентификаторам| L(Управляющее API Logto) subgraph Сервис на бекенде E end ``` Наконец, вы можете вернуть ответ одностраничному приложению: ```mermaid graph LR E(GET /api/top-users) -->|4 Возврат комбинированного ответа| S(Одностраничное приложение) subgraph Сервис на бекенде E end ``` Полная диаграмма последовательности: ```mermaid sequenceDiagram participant S as Одностраничное приложение participant E as GET /api/top-users participant D as База данных participant LM as Управляющее API Logto participant L as Logto OIDC S ->> L: Пользователь входит в систему L ->> S: Завершить вход в систему S ->> L: Запрос на токен доступа к сервису на бекенде (через код авторизации или токен обновления) L ->> S: Возврат токена доступа S ->> E: Запрос с токеном доступа E ->> E: Проверка токена доступа E ->> D: Запрос 10 лучших пользователей D ->> E: Возврат 10 лучших пользователей с идентификаторами E ->> L: Запрос на токен доступа к управляющему API Logto (через учетные данные клиента) L ->> E: Возврат токена доступа E ->> LM: Получение информации о 10 лучших пользователях LM ->> E: Возврат информации о пользователях E ->> E: Объединение информации о пользователях с 10 лучшими пользователями E ->> S: Возврат комбинированного ответа ``` В этом потоке участвуют два типа токенов доступа: один для сервиса на бекенде для доступа к управляющему API Logto, и другой для одностраничного приложения для доступа к сервису на бекенде. Первый токен доступа - это тот, который вы получили в предыдущем разделе. Второй токен доступа - это токен, который вы можете получить из Logto SDK. **Мой токен доступа в одностраничном приложении не является JSON Web Token (JWT)** Если вы не указываете ресурс при вызове метода `getAccessToken` в Logto SDK, токен доступа будет непрозрачной строкой, которая предназначена для использования с [конечной точкой userinfo](https://openid.net/specs/openid-connect-core-1_0.html#UserInfo). Чтобы получить JWT: 1. Определите ресурс API в Logto Console, например, `https://api.example.com`. 2. Добавьте ресурс API в конфигурацию `resources` Logto SDK, например, `resources: ['https://api.example.com']`. 3. Вызовите метод `getAccessToken` с ресурсом API, например, `getAccessToken('https://api.example.com')`. Чтобы проверить JWT в вашем сервисе на бекенде, пожалуйста, обратитесь к [Проверка токена авторизации API-запроса](https://docs.logto.io/docs/recipes/protect-your-api/#validate-the-api-requests-authorization-token). **Что означает JWT в одностраничном приложении?** JWT лишь означает, что пользователь вошел в систему и пытается получить доступ к ресурсу API. Это не означает, что у пользователя есть конкретные разрешения на ресурс API. Решение о предоставлении пользователю доступа к ресурсу API за вами. Если вам нужен более детальный контроль доступа, вы также можете применить управление доступом на основе ролей (RBAC) к пользователю. Дополнительную информацию смотрите в разделах [🔐 Управление доступом на основе ролей (RBAC)](https://docs.logto.io/docs/recipes/rbac/). ## Заключительные примечания Управляющее API Logto мощное и гибкое для множества сценариев. С помощью стандартных протоколов вы можете легко интегрировать управляющее API Logto в ваше приложение и построить безопасную и масштабируемую систему. Если у вас есть какие-либо вопросы, пожалуйста, не стесняйтесь обращаться к нам. Попробуйте Logto Cloud бесплатно