什么构成一个好的身份和访问管理解决方案
探讨有效的 IAM 解决方案的关键要素,包括用户体验、安全性、集成能力、文档、成本效益、支持以及基于 Logto 在为开发者服务中积累的经验的未来准备性。
Developer
在为企业客户和开发者服务超过三年的时间里,我们在 Logto 深入理解了公司在身份和访问管理(IAM)领域面临的挑战和需求。
基于我们的实际经验、与用户的日常对话以及行业趋势的跟踪,我们对是什么构成了一个好的 IAM 解决方案有了更清晰的认识。本文中,我想分享一些我们的想法和经验教训。
易用性和用户体验
IAM 是任何应用程序的入口。它通常是用户看到的第一件事。一个困难或混乱的系统不仅增加了开发者的工作量,也直接损害了最终用户的体验。
我们相信用户体验有两个方面:开发者的体验和最终用户的体验。
开发者体验
在开始构建 Logto 之前,我们对现有的 IAM 解决方案进行了大量研究。许多开发者都有同样的挫败感——很难找到一个既强大又容易使用的解决方案。
例如,一家连锁餐厅的 CTO 告诉我们,他们最初尝试部署 Keycloak,这是一个知名的开源解决方案。然而,他们发现设置过程非常复杂。他们必须学习许多概念,并理解不同资源是如何组织的。即使花费了大量时间,他们的团队成员仍然难以理解。此外,他们对默认登录页面的用户界面质量表示不满。最终,他们决定不再使用它。
我们听到了许多类似的故事。表面上,IAM 看起来很简单——它只是关于用户登录。但一旦涉及到现代需求,如 OAuth 2.0、OpenID Connect、社交登录、多因素认证(MFA)和单点登录(SSO),事情就会变得复杂。如果添加 API 访问控制、RBAC、用户组和权限等功能,糟糕的系统设计会使一切变得更加困难。
这激励我们尽可能减少用户的心理负担。在 Logto 中,我们从普通开发者的角度进行设计。我们使每个模块和功能都清晰明了,将快速入门指南嵌入到 UI 中,并提供易于使用的 SDK。
最终用户体验
对于最终用户,登录和授权页面应该看起来干净、现代且容易使用。良好的设计使体验愉快,并且无需额外工作即可适应大多数产品风格。
许多客户告诉我们,他们选择 Logto 的原因之一是因为我们的开箱即用的登录页面美观且用户友好。
但这只是基础。开发者通常希望登录页面能与他们的品牌风格相匹配。因此,Logto 支持全面的品牌定制,包括主要颜色、品牌名称、徽标以及在暗色和亮色模式下的不同设置。我们还允许自定义 CSS,并附有详细的文档,以便登录流程的每个部分都能与他们的产品风格相匹配。
尽管如此,一些开发者希望有更多的控制权。他们想从头构建自己的登录页面。为满足这一需求,我们引入了“自带 UI”功能,以及一套经验丰富的 API,帮助开发者创建自己的流程。
通过这些选项,开发者可以完全控制最终用户的登录体验,无论是使用 Logto 的页面还是自行构建。
安全性
安全性是所有软件系统的基础。它是 IAM 解决方案绝对不能妥协的底线。
对于最终用户,仅凭用户名和密码已不再足够安全。一个现代系统必须支持更安全的方法,如无密码登录(电子邮件或短信)、社交登录、企业 SSO 和多因素认证(MFA)。
对于开发者,系统还必须提供强有力的安全保护:CAPTCHA、标识符锁定、CSRF 保护、DoS 保护、JWT 和 cookie 的签名密钥轮换、OIDC 的后端通道注销等。
Logto 不仅支持所有这些,还遵循以下关键原则:
-
始终开源
所有核心的 Logto 组件都是开源的,完全透明。这允许社区和第三方安全专家审计代码,用户也可以自行验证。我们相信开源监督对于真正的安全至关重要。 -
严格遵循标准协议
Logto 坚持使用被广泛接受的标准,如 OAuth 2.0、OpenID Connect 和 SAML 2.0。这些标准经受了时间的考验,有助于确保兼容性和安全性,避免自定义实现的风险。 -
合规性
Logto 符合主要的安全和隐私合规要求,并已获得 SOC 2 Type II 认证。我们随时关注法律法规的变化以确保用户数据的安全。
��当然,平衡安全性和用户体验并不容易。有时我们不得不做出权衡。
例如,一些开发者希望用户直接在他们的应用中输入凭证,而不是重定向到 Logto 的登录页面。但是,这会破坏标准协议定义的安全模型(请参阅我需要我的用户在我的应用中填写他们的凭证)。
相反,我们为自定义登录页面提供了强大的支持。这样,用户仍然可以享受到流畅的体验而不牺牲安全性。
强大的集成能力
在当今的应用程序生态系统中,身份系统必须易于集成到不同的技术堆栈中。许多开发者只考虑账户管理,但真正的力量来自于与生态系统的更深层次的集成——Logto 通过遵循开放标准来实现这一点。
集成第三方身份系统
通过我们的研究,我们发现使用第三方社交登录是一个非常常见的需求。然而,开发者经常抱怨这些流程混乱、文档不清晰且难以调试。
为了解决这个问题,Logto 提供了近 30 个内置的社交连接器,包括标准的 OIDC 和 OAuth 2.0 连接器。我们还提供了主要 SSO 平台的连接器,如 Microsoft Entra ID(SAML + OIDC)、Google Workspace、Okta 和通用 OIDC/SAML SSO 连接器。
开发者可以通过 Logto 控制台中的分步指南轻松设置它们。
与你的生态系统集成
Logto 允许你将其用作第三方应用程序的身份提供商。这意味着你可以将你的 Logto 用户系统连接到围绕产品的更广泛的生态系统。
例如,如果你启动了一个等候列表页面或预售页面,用户可以使用 Logto 登录。之后,当你的产品上线时,这些用户可以直接用相同的账户登录,你可以了解他们的用户状态。
如果你后来建立了一个社区网站,你可以将其与 Logto 集成,以允许无缝的用户访问。参见Logto 实际操作:集成 Apache Answer 以为你的用户启动一个社区。
你还可以通过标准令牌连接 API,比如使用个人访问令牌让本地 MCP 服务器代表用户访问你的系统(请查看增强你的业务:通过访问控制将 AI 工具连接到你的现有服务)。
在未来,远程 MCP 服务器将充当受 Logto 令牌保护的资源服务器。
清晰完整的文档
许多开发者抱怨现有 IAM 解决方案的文档是零散的、过时的且难以理解。
有些人指出,Auth0 的文档“太大,有时自相矛盾”,而 Azure AD 的文档“过于笼统,缺乏案例特定的示例”。
在我们重建文档之前,我们也收到了类似的抱怨。
Logto 仔细听取了开发者的反馈。我们投入了大量精力,创建了清晰实用的文档,包括快速入门指南、详细的 API 参考和集成示例。文档与产品更新紧密相关,始终与新功能同步。
我们的博客每周更新,发布关于认证概念、产品使用和教程的文章,例如:
我们还在建设一个认证资源库,包括:
在 Logto,我们将文档视为产品的一部分。我们不断改善其可读性、完整性和可用性,以帮助每位开发者快速入门。
成本效益
成本是选择任何技术解决方案时的一个关键因素,IAM 解决方案也不例外。
许多用户觉得主流 IAM 解决方案“太昂贵”——不是因为它们不好,而是因为很难证明高价格的合理性。
Logto 提供透明且可预见的定价模式,包含开源和云托管选项。
对于云版本,我们提供慷慨的免费计划,支持最多 50,000 名 MAU,以及每月 $16 起的专业计划,支持无限的 MAU 和高级功能。对于企业需求,我们根据每个公司的情况提供定制的企业计划。
查看 Logto 价格了解更多信息。
可靠的客户支持
即使是最好的产品也可能出现问题。高质量的支持至关重要。
许多客户告诉我们,“我没想到你能这么快解决我的问题!其它服务让我等了很久。”
可悲的是,慢且无效的支持在其它供应商中很常见。对于 IAM 解决方案,任何停机都是致命的,因为用户无法登录。
Logto 通过 Discord 提供社区支持,自助 AI 机器人和专业用户的电子邮件工单支持。企业用户获得高级支持,包括服务水平协议(SLA)和解决方案工程师的访问权限。
我们的工程师直接处理支持,以确保技术问题得到正确解决。我们也重视用户反馈,并以此来改善产品。
面向未来的构建
虽然我们已经提到标准的重要性,但值得强调的是:
拥抱未来就是拥抱开放标准。
像 OAuth 2.0 和 OIDC 这样的标准,今天让集成更容易,同时也为未来的技术变革做好准备。它们由专家社区维护,并不断更新以满足新的安全需求。
这就是为什么 Logto 从一开始就构建在开放标准之上——以确保长期的灵活性和安全性。
在 AI 时代,IAM 的需求比以往任何时候都更复杂。OAuth 2.0 和 OIDC 现在变得更加重要,例如:
- 远程 MCP 服务器授权——OAuth 使第三方代理可以在不共享用户密码的情况下安全地请��求上下文或操作。
- 开放生态系统集成——你的 API 可以轻松通过基于令牌的访问连接第三方服务。
- 构建 AI 代理——OAuth 2.0 允许代理在不同应用中代表用户行事。
- 智能设备——设备授权流程有助于智能工具认证并访问云服务。
请参阅为什么你的产品需要 OAuth 2.0 和 OIDC — 特别是在 AI 时代了解更多。
Logto 严格遵循 OAuth 2.0 和 OIDC,确保当前的安全性和未来的准备性。
总结
一个好的 IAM 解决方案必须平衡易用性、安全性、用户选择、可扩展性、集成、成本效益、文档、支持和未来的适应性。
它不仅应该满足今天的需求,还应该为明天的变化做好准备。
Logto 致力于基于现实需求构建一个安全、易用、灵活且实惠的 IAM 平台。
无论是初创公司、大型公司、传统应用还是下一代 AI 服务,我们的目标是提供一个真正满足现代身份和访问管理需求的解决方案。