简体中文
  • oss
  • IAM
  • SSO providers

2025 年前五大开源身份和访问管理(IAM)提供商

比较 Logto、Keycloak、NextAuth、Casdoor 和 SuperTokens 的功能、协议、集成、优缺点,以找到最适合你身份验证和授权需求的开源解决方案。

Ran
Ran
Product & Design

不要在用户认证上浪费数周时间
使用 Logto 更快地发布安全应用。几分钟内集成用户认证,专注于您的核心产品。
立即开始
Product screenshot

什么是 IAM 提供商?

身份和访问管理(IAM)提供商是一个确保对资源安全且受控访问的系统。它结合了四个支柱:

  • 身份验证:验证用户身份(例如,密码、生物识别、社交登录)。
  • 授权:根据角色或策略授予权限。
  • 用户管理:处理用户配置、角色和审计。
  • 组织管理:构建团队、权限和多租户。 IAM 工具对于实施安全政策、预防违规并满足 SOC 2、GDPR 和 HIPAA 等合规标准至关重要。

选择开源 IAM 解决方案的关键考虑

以下是核心要求:

  1. 以集成为准备的 SDK 和部署灵活性: 确保与你的技术栈(例如,语言、框架、数据库)的兼容性,并提供流行的部署选项(例如,npm 包、Docker 容器、GitPod 集成或一键托管)。这有助于减少设置时间并加速上市时间。

  2. 协议支持的互操作性: 必须支持 OAuth 2.0OpenID Connect (OIDC)SAMLLDAP,以便与第三方应用和身份提供商(Google、Apple、Azure AD 等)集成。开放标准可以最大限度地减少供应商锁定并简化联合身份工作流。

  3. 业务就绪功能模块化: 选择一个提供模块化组件的解决方案,以满足当前需求并能够扩展以应对未来需求:

    • 身份验证:密码、无密码、社交登录、SSO、生物识别和 M2M 验证。
    • 授权:RBAC、ABAC 和 API 保护。
    • 管理:用户生命周期工具、审计日志、Webhook 和合规报告。
    • 安全:MFA、加密、密码策略、暴力攻击保护、机器人检测和封锁名单。选择具有透明安全实践的项目(SOC2 / GDPR 合规)。

  4. 用户体验(UX)优化: 优先考虑具有 预构建身份验证流程(登录、注册、密码重置)的解决方案,以减少开发工作量。确保最终用户流程直观、移动友好且可定制,以提升转换率。

  5. 定制化和可扩展性: API 和 Webhook 应允许根据独特业务规则定制身份验证工作流、UI 主题和政策逻辑。避免“黑匣子”解决方案,选择透明的、社区驱动的代码。

以下是实现长期成功的一些差异化因素:

  1. 开发者体验(DX): 全面的文档、代码示例和沙箱环境(例如,Postman 集合、CLI 工具),以及低代码管理控制台能够简化设置并减少错误。

  2. 社区和企业支持: 活跃的社区(Discord、GitHub)用于故障排除和知识共享。企业支持选项(服务级协议,专用工程)为关键任务部署提供可靠性。

  3. 可扩展性: 定期更新以处理零日漏洞和新的标准(例如,FIDO2)。混合部署选项(开源+云)简化了扩展并减少了运营负担。

这些对于开源项目来说似乎有点苛刻,但已经有能够满足这些要求的服务,让我们来看看。

前五大开源 IAM 提供商

  1. Logto:开发者优先的 IAM,集身份验证、授权、用户管理和多租户于一体。它是无框架的,支持 OIDC/OAuth/SAML,并且是完全免费的开源软件。
  2. Keycloak:企业级协议强者(SAML/OAuth/LDAP),为需要细粒度访问控制和自托管的组织而设计。
  3. NextAuth:专为 Next.js 开发者设计的轻量级身份验证库,简化社交登录、无密码身份验证和会话管理。
  4. Casdoor:一个以 UI 为优先的 IAM 和单点登录(SSO)平台,拥有 Web UI,支持 OAuth 2.0、OIDC、SAML、CAS、LDAP 和 SCIM。
  5. SuperTokens:基于 OAuth 2.0 的身份验证解决方案,开源灵活性和商业可扩展性。

#1 Logto

Logto 是一个开源的 Auth0、Cognito 和 Firebase 身份验证替代品,适用于现代应用和 SaaS 产品,支持 OIDC、OAuth 2.0 和 SAML 开放标准的身份验证和授权。

主页 | GitHub 仓库 | 文档 | Discord 社区

Logto OSS 的关键功能

  1. **协议:**OIDC、OAuth 2.0、SAML 2.0
  2. 官方 SDK:
    • **官方 SDK:**Android、Angular、Capacitor JS、Chrome 插件、.NET Core、Expo、Express、Flutter、FlutterFlow、Go、Java Spring Boot、Next.js(Page 和 App Router)、Auth.js(NextAuth)、Nuxt、Passport.js、PHP、Python、React、Ruby、SvelteKit、iOS、Vanilla JS、Vue、Webflow、WordPress、Hasura 和 Supabase。
    • 自定义集成:传统 Web 应用、SPA、移动应用、M2M、OAuth 应用和 SAML 应用。
  3. **身份验证方法:**密码、电子邮件和 SMS 无密码身份验证、社交登录、企业 SSO、MFA 使用认证器 TOTP / 密钥 / 备份代码、个人访问令牌、Google 一键登录、邀请、帐户链接和 OAuth 同意流程。
  4. **授权:**API 保护、用户/M2M 的 RBAC、组织级别的 RBAC、JWT/不透明令牌验证和自定义令牌声明。
  5. **多租户:**组织模板、成员邀请、每个组织的 MFA、即时配置(JIT)和针对每个租户量身定制的登录体验。
  6. **用户管理:**用户模拟、用户创建和邀请、暂停用户、审计日志和用户迁移。
  7. **用户体验:**提供漂亮、开箱即用、完全可定制的身份验证流程,通过联合身份管理实现统一的多应用全渠道登录体验。
  8. 提供商集成:
    • **社交提供商:**Google、Facebook、Microsoft、Apple、GitHub、X.com、LinkedIn、Slack、Amazon、Discord、Line、WeChat、Kakao 等。可通过 OpenID Connect 或 OAuth 2.0 完全自定义。
    • **企业提供商:**Microsoft Azure AD、Google Workspace、Okta 等。可通过 OpenID Connect 或 SAML 完全自定义。
    • **电子邮件分发提供商:**AWS, Mailgun, Postmark, SendGrid 等,可通过 SMTP 或 HTTP 调用进行配置。
    • **短信分发提供商:**Twillio, SMS Aero, GatewayAPI, Vonage, 阿里云和腾讯。

Logto OSS 的优点

  • **100% 免费的开源软件:**所有核心功能(包括 SSO、RBAC、组织等)免费提供;无基础功能被要求付费。
  • **企业级安全:**SOC2 就绪架构、MFA、SSO、API 保护、多租户隔离、暴力攻击保护和审计日志。
  • **成为身份提供商:**使用 Logto,可以将你的服务变成一个身份提供商,实现跨多个应用、平台和设备的无缝集成。支持 OIDC、OAuth 2.0 和 SAML 2.0,实现通用的单点登录和联合身份管理。
  • **外部生态系统集成寻求合作伙伴关系:**Logto 支持 M2M 身份验证、个人访问令牌、用户模拟(令牌交换)、第三方应用的 OAuth 授权(使用同意屏幕)及第三方身份提供商的可自定义连接,助力产品增长。
  • **开发者友好:**结构良好的 API、SDK、文档和直观的控制台。
  • **可扩展的部署:**Logto 提供免费的开源软件,同时 Logto Cloud 提供管理服务,提供有保障的更新和长期支持的财务支持。
  • **活跃的社区:**响应迅速的 Discord 社区和积极主动的核心团队确保及时解决问题并不断改进功能。
  • **轻量级与现代化:**采用现代化设计原则构建,优化速度与效率,适合于个人开发者、初创企业和企业使用。

Logto OSS 的缺点

  • **基于重定向的身份验证:**基于 OIDC,需重定向到身份提供商,这可能不适合要求非重定向体验的场景。然而,Logto 提供嵌入式的直接登录组件(社交、SSO 等)来解决这一问题。
  • **有限的 B2E 功能:**尚未内置 LDAP/Active Directory 同步和超细粒度授权。
  • 不断成长的生态系统:与老牌解决方案相比,社区规模较小,但随着贡献加速发展。

#2 Keycloak

Keycloak 是一款面向企业的 IAM 解决方案,具有对 SAML、OAuth 和 LDAP 的强大支持,适合优先考虑协议灵活性、自托管和细粒度访问控制的组织。

主页 | GitHub 仓库 | 文档 | Slack 社区

Keycloak 的功能

  1. 协议:OIDC、OAuth 2.0、SAML 2.0、LDAP
  2. 官方 SDK:Java、JavaScript、Node.js、C#、Python、Android、iOS、Apache HTTP 服务器
  3. 身份验证方法:单点登录 (SSO)、多因素身份验证 (MFA)、社交登录、Kerberos。
  4. **用户体验:**开箱即用的登录界面和帐户管理控制台,支持可定制的 HTML、CSS 和 JavaScript。
  5. 细粒度授权:基于角色、属性或其他标准进行访问控制。
  6. **目录同步:**从现有企业目录 (LDAP/Active Directory) 同步。
  7. **可插拔架构:**自定义扩展和集成。

Keycloak 的优点

  • **全面的企业功能集:**如 SSO、MFA、身份代理、用户联合和支持多种协议(OAuth 2.0、OpenID Connect、SAML)。
  • **可定制化的用户界面和管理设置:**提供默认的登录 UI 和可主题化且可扩展的管理控制台。
  • **集成和可扩展性:**轻松与外部身份提供商(如 LDAP/AD 和社交登录)集成,并通过插件支持自定义扩展。
  • **活跃的社区和持续开发:**定期更新、活跃的社区支持,以及 Red Hat 的支持确保了功能的持续改进和安全补丁。

Keycloak 的缺点

  • **陡峭的学习曲线:**设置域、客户端和身份验证流程可能很棘手,尤其是对缺乏深层 IAM 经验的团队而言。
  • **定制化挑战:**虽然灵活,但调整 UI 通常需要使用 FreeMarker 模板或自定义 SPI,这可能会很繁琐。
  • **高维护性:**频繁的大更新和破坏性更改使得升级变得棘手,需要在服务器和客户端库之间进行仔细协调。
  • **资源密集:**在高可用性或容器化设置中运行 Keycloak 可能需要大量的 CPU/RAM 和仔细的性能调优。
  • **文档空白:**虽然基础内容覆盖良好,但高级功能和边缘案例通常缺乏详细或最新的文档。

#3 Auth.js/NextAuth.js

NextAuth.js 是为 Next.js 设计的轻量级身份验证库,提供简单的社会登录、无密码身份验证和会话管理设置,设置配置简单。

主页 | GitHub 仓库 | 文档 | Discord 社区

NextAuth.js 的功能

  1. **协议:**OAuth 2.0, OIDC
  2. **框架:**Next.js、Node.js 和无服务器平台(例如,Vercel、AWS Lambda)
  3. **认证方法:**社交登录、魔法链接、凭证、WebAuthn(密码钥匙)。
  4. **认证体验:**提供默认的登录、注销、错误和验证页面;也可以覆盖它们以创建完全品牌化和定制化的用户体验。
  5. **会话管理:**支持 JSON Web Token (JWT) 的无状态会话和数据库支持的会话。

NextAuth.js 的优点

  • **无缝的 Next.js 集成:**专为 Next.js 设计,它与服务器端渲染 (SSR)、静态站点生成 (SSG) 和 API 路由配合使用,开发者可以轻松地使用像 useSession 这样的挂钩和 SessionProvider 这样的组件来管理身份验证状态。
  • **可定制化的身份验证流程:**内置回调用于登录、JWT 处理和会话管理,允许进行深层定制,让开发人员能够完全控制身份验证行为和令牌处理。
  • **活跃的社区和生态系统:**强大的开发者社区提供了教程、示例和讨论,帮助更轻松地解决问题和扩展功能。

NextAuth.js 的缺点

  • **有限的 IAM 功能:**缺少 SMAL、SSO、MFA、多租户和用于 B2B 或 B2E 用例的其他关键身份验证功能。专注纯粹于身份验证,没有内置的授权或用户管理支持。
  • **不一致和较差的文档:**许多用户报告文档分散、过时且难以理解,特别是在升级到新版本或过渡到应用目录结构时。
  • **稳定性和错误问题:**开发人员曾遇到会话处理问题、刷新令牌错误和不可预测的行为,有时需要使用变通方案或替代解决方案。
  • **陡峭的学习曲线:**API 和配置可能让人感到复杂,尤其是对于初学者。频繁的破坏性更改——例如那些在 NextAuth.js v5 beta 中引入的更改——增加了集成挑战。

#4 Casdoor

Casdoor 是一个以 UI 为优先的身份访问管理 (IAM) / 单点登录 (SSO) 平台,web UI 支持 OAuth 2.0、OIDC、SAML、CAS、LDAP、SCIM、WebAuthn、TOTP、MFA、RADIUS、Google Workspace、Active Directory 和 Kerberos。

主页 | GitHub 仓库 | 文档 | Discord 社区

Casdoor 的功能

  1. **协议:**OAuth 2.0、OIDC、SAML、CAS、LDAP、SCIM
  2. 官方 SDK:Android、iOS、React Native、Flutter、Firebase、UNITY 游戏、uni-app、Electro、.Net 桌面、C/C++、JavaScript、前端、React、Next.js、Nuxt、Vue、Angular、Flutter、ASP.NET、Firebase、Go、Java、Node.js、Python、PHP、.NET、Rust、Dart、Ruby。
  3. **身份验证方法:**凭证、电子邮件/SMS 验证码、社交登录(OAuth/SAML)
  4. **身份管理:**提供一个用于管理用户、角色、权限、多租户和审计日志的集中式仪表板。
  5. **可定制的 UI 和流程:**提供预构建的 UI 模板,并允许自定义登录方法、注册字段和身份验证流程。
  6. **访问控制:**支持 RBAC 并可与细粒度授权解决方案(如 Casbin)集成以进行高级权限管理。
  7. **多租户:**允许在单个实例中管理多个组织或项目。

Casdoor 的优点

  • **灵活的集成:**Casdoor 的丰富 API、SDK 和身份提供商支持使其可以轻松与各种平台和第三方服务集成。
  • **多租户和联合功能:**内置的多租户和身份代理功能使其适合管理多个客户或子公司的组织。
  • **开源和活跃的社区:**由积极参与的开发者社区维护,在 Casnode 和 QQ 群等平台上进行讨论,同时定期更新和贡献。

Casdoor 的缺点

  • **安全问题:**曾面临 SQL 注入(CVE-2022-24124)和任意文件读取漏洞等问题,需要严格的安全配置和及时更新。
  • **过时的 UI 设计:**预构建的 UI 相较于现代身份验证解决方案感觉过时,通常需要自定义以获得更好的用户体验。
  • **有限的企业级支持:**虽然功能丰富,但某些高级企业功能比起更成熟的平台仍不够成熟,通常需要额外的自定义。
  • **陡峭的学习曲线:**高级自定义需要 Golang 和 React.js 的知识,这对不熟悉这些技术的团队来说可能具有挑战性。虽然存在 Swagger API 文档,但对复杂用例的详细指南不足。

#5 Supertokens

一个以开发人员为中心的身份认证解决方案,结合了开源的透明性与商业的可扩展性,提供了针对现代应用架构优化的无密码、MFA 和会话管理。

主页 | GitHub 仓库 | 文档 | Discord 社区

Supertokens 的功能

  1. **协议:**OAuth 2.0
  2. 框架和云集成:
    • **框架:**Next.js App Router, Next.js Pages Router, NestJS, GraphQL, RedwoodJS, Capacitor。
    • **云平台:**AWS Lambda, Netlify, Vercel, Hasura, Supabase。
  3. 身份验证方法:
    • **免费:**密码、电子邮件/SMS 无密码、社交登录。
    • **付费:**多租户身份验证、企业 SSO (SAML)、MFA(TOTP/电子邮件 OTP/SMS OTP)、帐户链接。
  4. **预构建的 UI 组件和可自定义的流程:**提供用于登录、注册和密码恢复的即用型 UI 组件。允许开发者自定义身份验证流程。
  5. **多租户支持(付费):**使得可以管理多个租户(组织或应用),通过 SAML 连接企业 SSO,隔离用户数据,并为每个租户提供独特的登录方法。
  6. **风险评估(付费):**提供攻击保护套件,分析登录尝试并分配风险分数。可以强制实施额外的安全措施,例如要求 MFA。

Supertokens 的优点

  1. **明确的 UI 方法:**Supertokens 将 SDK 和身份验证方法都分类为预构建 UI 和自定义 UI,提供了清晰且灵活的集成体验。
  2. **轻量级和专注于身份验证:**仅围绕身份验证进行设计,使其轻量且高效。开源版本包含必要功能,使其对初创企业和小团队具有成本效益。
  3. **活跃的开发:**定期有新功能和改进,支持活跃的 GitHub 社区。

Supertokens 的缺点

  1. **开源功能限制:**需要付费获取高级功能,如帐户链接、多租户身份验证、仪表板的其他用户、MFA 和攻击保护套件。
  2. **有限的企业集成:**没有 SAML 应用集成,这可能会降低与传统企业系统的兼容性。
  3. **范围较窄:**主要专注于身份验证,仅具有基本的管理控制台功能。缺乏高级授权、租户管理和企业级身份功能。
  4. **较小的生态系统:**与综合 IAM 解决方案相比,第三方集成和插件较少。社区较小,可能会影响长期支持和可扩展性。

结论

开源 IAM 解决方案的类型多样:

  • **全面且可扩展:**例如 Logto、Keycloak 和 Casdoor,提供更广泛的身份验证、授权和用户管理功能。
  • **仅限身份验证/授权:**例如 Supertokens,仅专注于身份验证。
  • **轻量级、框架特定:**例如 NextAuth.js,为特定框架设计。

选择解决方案时,请考虑项目规模、具体需求和未来的可扩展性。

Logto 作为一个完全免费且功能丰富的开源解决方案脱颖而出,具有长期稳定性、活跃的社区和对标准协议的全面支持。它提供了完整的身份验证、授权和用户管理套件,具有很高的可扩展性。对于需要企业级合规性和可靠性的用户,Logto 的具有成本效益的云版本可以确保无缝迁移与专用支持。