简体中文

oss
IAM
SSO providers

2025 年前五大开源身份与访问管理（IAM）服务商

对比 Logto、Keycloak、NextAuth、Casdoor 和 SuperTokens 的功能、协议、集成方式、优缺点，帮助你找到最适合认证与授权需求的开源解决方案。

Ran

Product & Design

3/12/2025

不要在用户认证上浪费数周时间

使用 Logto 更快地发布安全应用。几分钟内集成用户认证，专注于您的核心产品。

立即开始

什么是 IAM 服务提供商？

身份与访问管理（IAM）服务商是确保对资源安全、受控访问的系统。它结合了四个支柱：

认证：验证用户身份（如密码、生物识别、社交登录）。
授权：基于角色或策略授予权限。
用户管理：处理用户的开通、角色分配和审计。
组织管理：团队结构、权限分配和多租户管理。 IAM 工具对于强制执行安全策略、防止数据泄露、满足 SOC 2、GDPR 和 HIPAA 等合规标准至关重要。

选择开源 IAM 方案的关键考量

以下是核心需求：

集成就绪 SDK 和部署灵活性：保证与你的技术栈（语言、框架、数据库等）兼容，并提供主流部署方式（如 npm 包、Docker 容器、GitPod 集成或一键托管）。这有助于降低搭建难度并加速上线时间。
协议支持互操作性：必须支持 OAuth 2.0、OpenID Connect (OIDC)、SAML 和 LDAP，方便集成第三方应用和身份供应商（如 Google、Apple、Azure AD 等）。采用开放标准可避免供应商锁定并简化联合身份流程。
业务功能模块化：选择具有模块化组件的方案，能满足当前需求并支持未来扩展：
- 认证：支持密码、无密码、社交登录、SSO、生物识别、M2M 认证等。
- 授权：涵盖 RBAC、ABAC、API 防护。
- 管理：用户生命周期工具、审计日志、Webhook、合规报告。
- 安全性：MFA、加密、密码策略、暴力破解保护、机器人检测和黑名单。选择安全规范透明（SOC2 / GDPR 合规）的项目。
优化用户体验（UX） ：优先选择带有预设认证流程（登录、注册、重置密码）的方案，降低开发工作量。确保最终用户流程直观、移动端友好且可定制，从而提升转化率。
自定义与可扩展性： API 与 Webhook 应支持自定义认证流程、UI 主题、策略逻辑以符合个性化业务规则。避免 “黑盒” 方案 —— 首选代码开放、社区驱动的项目。

以下差异化特性影响长期成功：

开发者体验（DX）：完善的文档、代码示例与沙盒环境（如 Postman 集合、CLI 工具）、低代码管理后台可优化上手流程并减少出错。
社区和企业支持：活跃的社区（Discord、GitHub），便于排查、知识共享。企业支持（SLA、专属工程师）确保关键业务部署的稳定性。
可扩展性：经常性更新零日漏洞和新标准（如 FIDO2）。支持混合部署（开源 + 云），简化扩容并降低运维压力。

这些要求对开源项目来说似乎比较高，但实际上已有项目能够满足。下面我们来看看。

五大开源 IAM 供应商

Logto：开发者优先的 IAM，集认证、授权、用户管理与多租户于一体。无框架依赖，支持 OIDC/OAuth/SAML，完全免费开源。
Keycloak：企业级协议强者（SAML/OAuth/LDAP），适用于需要细粒度访问控制及自建部署的大型组织。
NextAuth：专为 Next.js 开发者打造的轻量级认证库，简化了社交登录、无密码认证及会话管理。
Casdoor：以 Web UI 为中心的 IAM 与 SSO 平台，支持 OAuth 2.0、OIDC、SAML、CAS、LDAP 和 SCIM。
SuperTokens：以 OAuth 2.0 为基础的认证方案，兼具开源灵活性与企业级商业扩展能力。

#1 Logto

Logto 是面向现代应用和 SaaS 产品的开源 Auth0、Cognito 和 Firebase 认证替代品，支持 OIDC、OAuth 2.0 和 SAML 等开放标准协议，实现认证和授权。

主页 | GitHub 仓库 | 文档 | Discord 社区

Logto OSS 主要功能

协议支持： OIDC、OAuth 2.0、SAML 2.0
官方 SDK：
- 官方 SDK：支持 Android、Angular、Capacitor JS、Chrome 插件、.NET Core、Expo、Express、Flutter、FlutterFlow、Go、Java Spring Boot、Next.js（包括页面和应用路由）、Auth.js（NextAuth）、Nuxt、Passport.js、PHP、Python、React、Ruby、SvelteKit、iOS、Vanilla JS、Vue、Webflow、WordPress、Hasura、Supabase 等。
- 自定义集成: 传统 Web 应用、SPA、移动应用、M2M、OAuth 应用、SAML 应用。
认证方式： 密码、邮箱和短信无密码登录、社交登录、企业 SSO、MFA（身份验证器 TOTP / 密码钥匙 / 备用码）、个人访问令牌、Google One Tap、邀请、账号绑定、OAuth 授权同意流程。
授权：API 防护、用户/M2M 的 RBAC、组织级别 RBAC、JWT/不透明令牌校验、自定义令牌声明。
多租户管理：组织模版、成员邀请、按组织启用 MFA、即时开通（JIT）、针对每一租户自定义登录体验。
用户管理：用户模拟、创建与邀请、挂起、审计日志、用户迁移。
用户体验：开箱即用且高度可定制的认证流程，支持多应用场景的统一登录体验和联合身份管理。
供应商集成：
- 社交登录平台： Google、Facebook、Microsoft、Apple、GitHub、X.com、LinkedIn、Slack、Amazon、Discord、Line、微信、Kakao 等。可通过 OIDC 或 OAuth 2.0 自定义配置。
- 企业身份源： Microsoft Azure AD、Google Workspace、Okta 等，支持 OIDC 或 SAML 定制。
- 邮件发送商：AWS、Mailgun、Postmark、SendGrid 等，可通过 SMTP 或 HTTP 集成。
- 短信供应商：Twillio、SMS Aero、GatewayAPI、Vonage、阿里云、腾讯云。

Logto OSS 优势

100% 免费开源：所有核心功能（包括 SSO、RBAC、组织等）全免费开放，无关键功能收费墙。
企业级安全：SOC2 准备架构、MFA、SSO、API 防护、多租户隔离、暴力破解防护、审计日志。
可做身份源：Logto 能将你的服务变成身份提供方，实现多应用、平台和设备间无缝集成。支持 OIDC、OAuth 2.0、SAML 2.0，实现统一登录及联合身份管理。
外部生态合作：支持 M2M 认证、个人访问令牌、用户模拟（令牌交换）、第三方应用 OAuth 授权同意页、自定义第三方身份源，助力产品增长。
开发者友好：API、SDK、文档结构清晰，控制台易用。
可弹性部署：Logto 提供免费开源版本，Logto Cloud 提供托管服务，保证长期更新与资金支持。
活跃社区：Discord 有问必答，核心团队及时响应和持续迭代新功能。
轻量现代：采用现代设计理念，极致优化，既适合个人开发者，也适合初创公司与企业。

Logto OSS 不足

重定向式认证：基于 OIDC，需要跳转到身份服务商，不适合极端要求无跳转体验的场景。但 Logto 提供嵌入式直接登录组件（如社交、SSO等）可变通实现。
B2E 功能有限：暂不内置 LDAP/Active Directory 同步和极细粒度授权。
生态正成长中：社区体量相对较小，但发展迅速，贡献者不断扩大。

#2 Keycloak

Keycloak 是企业级、协议全面支持（SAML、OAuth、LDAP）的 IAM 方案，适合重视协议组合、私有化部署和细致权限管控的组织。

主页 | GitHub 仓库 | 文档 | Slack 社区

Keycloak 功能

协议支持：OIDC、OAuth 2.0、SAML 2.0、LDAP
官方 SDK：Java、JavaScript、Node.js、C#、Python、Android、iOS、Apache HTTP 服务
认证方式：单点登录（SSO）、多因子认证（MFA）、社交登录、Kerberos。
用户体验：开箱即用的登录界面与账户控制台，支持自定义 HTML、CSS、Javascript。
细粒度授权：可基于角色、属性或其他条件控制访问。
目录同步：支持从现有企业目录（LDAP/Active Directory）同步。
可插件式架构：方便自定义扩展和集成。

Keycloak 优势

企业级全套功能：如 SSO、MFA、身份代理、用户联合、多协议支持（OAuth 2.0、OpenID Connect、SAML）。
UI 与管理后台可定制：默认登录界面与管理后台均可自定义主题和扩展功能。
拓展与集成能力强：可与外部身份源（如 LDAP/AD、社交登录）以及自定义插件轻松集成。
社区活跃，持续迭代：有规律的更新与安全补丁，由 Red Hat 支持，持续社区活跃。

Keycloak 不足

上手曲线陡峭：配置域、客户端和认证流程较复杂，对 IAM 经验不足的团队来说有难度。
定制化复杂：虽然灵活，但 UI 定制常需要操作 FreeMarker 模板或自定义 SPI，成本较高。
维护难度大：主版本更新频繁，易引发兼容问题，需服务端与客户端库配合升级。
资源占用高：高可用或容器化部署对 CPU/RAM 要求高，需要性能调优。
文档不完善：基础覆盖较好，但高阶功能和边界场景文档偏少或不及时。

#3 Auth.js/NextAuth.js

NextAuth.js 是专为 Next.js 设计的轻量级认证库，支持社交登录、无密码认证、会话管理，配置简单。

主页 | GitHub 仓库 | 文档 | Discord 社区

NextAuth.js 功能

协议支持：OAuth 2.0、OIDC
适用框架：Next.js、Node.js、以及无服务平台（如 Vercel、AWS Lambda）
认证方式：社交登录、魔法链接、账号密码、WebAuthn（安全密钥）。
认证体验：内置登录、登出、错误、验证页面；也可自定义构建品牌化的用户流程。
会话管理：支持基于 JWT 的无状态会话和数据库会话两种模式。

NextAuth.js 优势

与 Next.js 深度集成：为 Next.js 量身定制，支持 SSR、SSG 和 API 路由。开发者可通过 useSession 等 hooks 及 SessionProvider 组件轻松管理认证状态。
认证流程可定制：内置回调覆盖登录、JWT 处理及会话管理，便于深度自定义。
活跃社区与生态：有大量开发者参与教程、案例更新，便于查找资料和问题排查。

NextAuth.js 不足

IAM 功能有限：没有 SAML、SSO、MFA、多租户等功能，且不带授权及用户管理，仅专注于认证。
文档零散且不完整：很多用户反馈文档零散、过时且难以理解，升级或迁移到新目录结构时更为明显。
稳定性和 bug 问题：开发中常遇到会话管理、刷新令牌等 bug，有时需用替代方案或规避方法。
上手门槛高：API 与配置较复杂，初学者容易困惑。频繁的重大版本变更（如 v5 beta）也提升了集成难度。

#4 Casdoor

Casdoor 是以 UI 为优先的身份访问管理（IAM）/ 单点登录（SSO）平台，带有网页 UI，支持 OAuth 2.0、OIDC、SAML、CAS、LDAP、SCIM、WebAuthn、TOTP、MFA、RADIUS、Google Workspace、Active Directory 和 Kerberos。

主页 | GitHub 仓库 | 文档 | Discord 社区

Casdoor 功能

协议支持： OAuth 2.0、OIDC、SAML、CAS、LDAP、SCIM
官方 SDK：Android、iOS、React Native、Flutter、Firebase、Unity 游戏、uni-app、Electro、.Net 桌面、C/C++、Javascript、纯前端、React、Next.js、Nuxt、Vue、Angular、Flutter、ASP.NET、Firebase、Go、Java、Node.js、Python、PHP、.NET、Rust、Dart、Ruby。
认证方式： 账号密码、邮箱/短信验证码、社交登录（OAuth/SAML）
身份管理： 集中式仪表盘管理用户、角色、权限、多租户及审计日志。
UI 与流程可自定义： 提供预设 UI 模板，并可自定义注册项、登录方式和认证流。
访问控制： 支持 RBAC，并可与 Casbin 等细粒度授权组件集成。
多租户支持： 单实例支持多组织/项目管理。

Casdoor 优势

灵活集成：丰富的 API、SDK 与身份源支持，易于接入不同平台或第三方服务。
多租户与联合能力：内置多租户和身份代理，适合需要管理多个客户或子公司的组织。
开源与社区活跃：有活跃开发社区、Casnode 和 QQ 群讨论，定期功能更新与贡献。

Casdoor 不足

安全风险：曾出现如 SQL 注入（CVE-2022-24124）/任意文件读取等漏洞，需严格安全配置和及时升级。
UI 设计过时：内置 UI 相较现代认证方案显得陈旧，常需自定义以提升体验。
企业级支持有限：虽然功能丰富，但高阶企业功能不如老牌平台成熟，部分需自定义开发。
上手有难度：高级定制需掌握 Golang 和 React.js，新团队学习成本高。Swagger API 虽有，复杂案例细节指引较少。

#5 SuperTokens

开发者优先的认证方案，兼具开源透明与商业可扩展性，覆盖无密码、MFA 和为现代应用优化的会话管理。

主页 | GitHub 仓库 | 文档 | Discord 社区

SuperTokens 功能

协议支持： OAuth 2.0
框架与云服务集成：
- 框架：Next.js 应用路由、Next.js 页面路由、NestJS、GraphQL、RedwoodJS、Capacitor。
- 云平台：AWS Lambda、Netlify、Vercel、Hasura、Supabase。
认证方式：
- 免费：密码、邮箱/短信无密码、社交登录。
- 付费：多租户认证、企业 SSO（SAML）、MFA（TOTP/邮件 OTP/短信 OTP）、账号绑定。
内置 UI 组件与自定义流程：为登录、注册、找回密码等提供现成 UI，可自定义认证流。
多租户支持（付费）：支持多租户（组织/应用）管理、企业 SSO（SAML）、数据隔离、按租户定制登录方式。
风险评估（付费）：攻击防护套件分析登录尝试并打分，可强制要求 MFA 等额外安全措施。

SuperTokens 优势

清晰 UI 集成方式：按预设 UI 与自定义 UI 区分 SDK 和认证方式，接入灵活透明。
轻量且专注认证：仅专注认证，故效率高、开销小。开源版本内容覆盖基础需求，对初创团队与中小企业极为友好。
持续开发创新：社区活跃，保持功能与安全性持续提升。

SuperTokens 不足

开源版功能受限：如账号绑定、多租户、后台多用户、MFA、攻击防护等需付费。
企业级集成有限：不支持 SAML 应用集成，兼容老牌企业系统有限。
功能聚焦狭窄：主要定位认证，管理后台与高级授权、租户管理、企业级身份管理较弱。
生态小：第三方插件和集成方案较少，社区规模较小，长期支持和可扩展性有一定影响。

总结

开源 IAM 解决方案类型不一：

全面且可扩展：如 Logto、Keycloak、Casdoor，提供认证、授权、用户管理的全套能力。
专注认证/授权：如 SuperTokens，仅定位于认证。
轻量、框架绑定：如 NextAuth.js，服务于特定框架。

选型时要结合项目规模、个性需求和未来扩展性衡量。

Logto 作为完全免费且功能丰富的 OSS 方案，兼具长期稳定性、活跃社区和标准协议支持，认证、授权、用户管理全面且可高度扩展。需要企业级合规与稳定性的团队也可平滑迁移至 Logto Cloud 获取专属支持和无缝升级。

什么是 IAM 服务提供商？#

选择开源 IAM 方案的关键考量#

五大开源 IAM 供应商#

#1 Logto#

Logto OSS 主要功能#

Logto OSS 优势#

Logto OSS 不足#

#2 Keycloak#

Keycloak 功能#

Keycloak 优势#

Keycloak 不足#

#3 Auth.js/NextAuth.js#

NextAuth.js 功能#

NextAuth.js 优势#

NextAuth.js 不足#

#4 Casdoor#

Casdoor 功能#

Casdoor 优势#

Casdoor 不足#

#5 SuperTokens#

SuperTokens 功能#

SuperTokens 优势#

SuperTokens 不足#

总结#

什么是 IAM 服务提供商？#

选择开源 IAM 方案的关键考量#

五大开源 IAM 供应商#

#1 Logto#

Logto OSS 主要功能#

Logto OSS 优势#

Logto OSS 不足#

#2 Keycloak#

Keycloak 功能#

Keycloak 优势#

Keycloak 不足#

#3 Auth.js/NextAuth.js#

NextAuth.js 功能#

NextAuth.js 优势#

NextAuth.js 不足#

#4 Casdoor#

Casdoor 功能#

Casdoor 优势#

Casdoor 不足#

#5 SuperTokens#

SuperTokens 功能#

SuperTokens 优势#

SuperTokens 不足#

总结#

什么是 IAM 服务提供商？

选择开源 IAM 方案的关键考量

五大开源 IAM 供应商

#1 Logto

Logto OSS 主要功能

Logto OSS 优势

Logto OSS 不足

#2 Keycloak

Keycloak 功能

Keycloak 优势

Keycloak 不足

#3 Auth.js/NextAuth.js

NextAuth.js 功能

NextAuth.js 优势

NextAuth.js 不足

#4 Casdoor

Casdoor 功能

Casdoor 优势

Casdoor 不足

#5 SuperTokens

SuperTokens 功能

SuperTokens 优势

SuperTokens 不足

总结

什么是 IAM 服务提供商？

选择开源 IAM 方案的关键考量

五大开源 IAM 供应商

#1 Logto

Logto OSS 主要功能

Logto OSS 优势

Logto OSS 不足

#2 Keycloak

Keycloak 功能

Keycloak 优势

Keycloak 不足

#3 Auth.js/NextAuth.js

NextAuth.js 功能

NextAuth.js 优势

NextAuth.js 不足

#4 Casdoor

Casdoor 功能

Casdoor 优势

Casdoor 不足

#5 SuperTokens

SuperTokens 功能

SuperTokens 优势

SuperTokens 不足

总结