Svenska
  • jwt
  • auth
  • user data

Säker nav för användardata på flytt

Jämför autentisering & användardata. Detaljerar Logtos säkra lagring & rörelse. Beskriver bästa praxis för dataflöde (attributmappning, datasynkronisering, anpassade JWT:er).

Ran
Ran
Product & Design

Användarmetadata är livsnerven för Identitets- och åtkomsthanteringstjänster (IAM). Det driver produktfunktioner som dataanalys, personanpassade upplevelser, säkerhetsövervakning och åtkomstkontroll. Men när applikationer blir mer sammanlänkade över plattformar, organisationer och applikationer, kan hantering av användarmetadata bli komplext. Frukta inte! Genom att förstå flödet av användardata kan du bygga en sömlös och säker autentiseringsupplevelse.

Autentiseringsdata kontra användardata

All användardata är inte skapad lika. Autentiseringsdata är en specifik del som utbyts under tokenutgivning. Föreställ dig en JWT (JSON Web Token) som reser i dina HTTP-förfrågningar. En stor JWT kan sakta ner saker och ting. För att hålla saker och ting snabba och säkra inkluderar vi bara väsentlig användarinformation som identitet, kontostatus, autentiseringsdetaljer, behörigheter och en grundläggande användarprofil.

Här på Logto fokuserar vi på att lagra följande autentiseringsdatapunkter:

  • Kontostatus: Håll reda på skapandetid, uppdateringar, avstängningsstatus och inloggningshistorik. Inklusive create_at, updated_at, account_suspended, last_ip.
  • Autentiseringsinformation: Detta inkluderar användaridentifierare, autentiseringsfaktorer och verifieringsrelaterad data. Inklusive user_id, password_digest, password_algorithm, username, email, email_verified, phone, phone_verified, social_identities, sso_identities, mfa_config, mfa_verification_factors.
  • Behörighetsinformation: Hantera roller, behörigheter, organisationsmedlemskap och auktoriserade applikationer och enheter för granulär åtkomstkontroll. Inklusive role, permission, organization_id, organization_role, organization_permission, grant_application, grant_device.
  • Standard användarprofil: Detta är den vanligaste användarprofilen registrerad av OIDC. Logto ställer också in det som standardanvändarmetadata, lagrad under namnutrymmet 'profile.'. Inklusive first_name, last_name, middle_name, name, nickname, profile, website, avatar, gender, birthdate, zoneinfo, locale, address.

Bortom det grundläggande: Anpassning av användardata med Logto

  • Logto går bortom standardprofilen. Vår Management API låter dig definiera anpassad data specifik för ditt företagsbehov. Denna data lagras säkert under ett dedikerat namnutrymme 'custom.data'. Här är några fall: occupation, company_name, company_size.

Tänka utanför valvet: extern API-data med anpassade JWT:er

  • Viss affärsdata kanske inte behöver permanent lagring i Logto. Skönheten med Anpassade JWT:er är att du kan hämta denna data dynamiskt via API-anrop under tokenutgivning, vilket utökar räckvidden för din användardata. Kom ihåg att säkerhet är av största vikt, så undvik att inkludera känslig information i JWT:er eftersom de lätt kan analyseras. Här är några fall: subscribed_status, last_path_visited, app_theme.

Användardataresan: förvärv & distribution

Användardata kommer från olika källor:

  • Användarinmatning: Under registrering, onboarding eller profiluppdateringar inom din applikation.
  • Identitetsleverantörer (IdPs): Sömlöst synkroniserad under Social inloggning eller Enterprise SSO.
  • Datamigreringar: Flytta data från befintliga databaser.
  • Administrativ intervention: Admin redigerar manuellt via konsolen eller databasen.

När du har denna värdefulla data kan du dela den säkert:

  • Ge behörigheter till tredjepartsappar: Ge kontrollerad åtkomst till användardata för auktoriserade applikationer.
  • Dataexport: Exportera användardata från Logto för vidare analys.
  • Leverans via JWT:er, Webhooks, eller API:er: Dela användardata med dina interna tjänster för en enhetlig användarupplevelse.

Som ett identitetscenter utmärker sig Logto på att underlätta flödet av användardata. Vi gör det lätt att få användarinformation från olika leverantörer och leverera den säkert till auktoriserade parter.

Viktiga punkter

Nu när du förstår användardataresan, låt oss utforska några viktiga designöverväganden:

  1. Attributmappning Se till att korrekt mappa användarattribut från olika källor för att undvika datasiloer. För SAML-anslutningar krävs manuell mappning. När du använder OIDC, utnyttja standardiserade anspråk eller skapa unika namnutrymmen för att undvika konflikter.
  2. IdP och RP-datasynk Datasynkronisering mellan IdP:erna (identitetsleverantörer) och RP:erna (förlitan parter) innefattar vanligtvis auktorisering och specifika räckviddsförfrågningar på båda sidor. Var medveten om verifieringsstatus. En synkroniserad "Email verified=false" från en IdP som GitHub eller Azure AD kanske inte är en verifierad e-post i ditt system. Hantera det därefter.
  3. Datasegregering och överskrivning i en multi-enhetsstruktur I komplexa miljöer med flera organisationer, applikationer och leverantörer blir datasäkring och överskrivningsbeteende avgörande.
    • Flera organisationer: En användare kan tillhöra flera organisationer. Differentiera användardata lagrad under användarkontot från organisationsspecifik data. Ändringar inom en organisation bör inte påverka andra.
    • Flera appar: För applikationer som delar en användardatabas via Logto, implementera en central inställningsmodul eller profilsinställningsmodul i din tjänst.
    • Flera leverantörer: Applikationer med olika inloggningsmetoder tar emot olika användarinformation från varje leverantör. I Logto välj att synkronisera data under social inloggningsregistrering eller vid varje inloggning för Enterprise SSO. Social inloggning är ideal för framåtsyftande datasynk, medan Enterprise SSO kan synkronisera medlemsinformation vid varje inloggning för enklare hantering inom företagets IdP.
  4. Anpassade JWT:er för utökad dataåtkomst Kraften med Anpassade JWT:er ligger i deras förmåga att hämta extern information dynamiskt under tokenutgivning via API-anrop. Detta gör att du kan få tillgång till datapunkter som kanske inte är väsentliga för den centrala funktionaliteten men kan berika användarupplevelsen. Kom ihåg att med stor flexibilitet kommer stort ansvar. Eftersom JWT:er lätt analyseras av alla som tar emot dem, undvik att inkludera känsliga data.
  5. Progressiv registrering för ett smidigare onboardingflöde Överväldiga inte användare med ett registreringsformulär av romanlängd. Implementera progressiv registrering, en teknik där du bara begär den mest kritiska användarinformationen initialt. Detta strömlinjeformar registreringsprocessen och håller användarna engagerade. När användare interagerar med din applikation kan du gradvis samla in ytterligare datapunkter för att bygga en rikare användarprofil.

Genom att följa dessa bästa praxis kan du säkerställa ett smidigt och säkert flöde av användardata genom hela autentiseringsresan.

Logto: Ditt säkra nav för användardata på flytt

Effektiv hantering av användarmetadata ger dig möjlighet att anpassa användarupplevelser, förbättra säkerheten och få värdefulla insikter i användarbeteende. Genom att utnyttja Logtos säkra och flexibla plattform kan du låsa upp den fulla potentialen hos användardata och få en konkurrensfördel i dagens datadrivna landskap.

Prova Logto Cloud gratis