Kontoeinstellungen über Management API
Integrationen
Logto stellt verschiedene Management API zur Verfügung, um Benutzerkonten zu verwalten. Du kannst diese APIs nutzen, um eine Self-Service-Kontoeinstellungsseite für Endbenutzer zu erstellen.
Architektur
- Benutzer: Authentifizierter Endbenutzer, der auf seine Kontoeinstellungen zugreifen und diese verwalten möchte.
- Client-Anwendung: Deine Client-Anwendung, die dem Benutzer die Kontoeinstellungsseite bereitstellt.
- Serverseitige Anwendung: Serverseitige Anwendung, die die Kontoeinstellungen-API für den Client bereitstellt. Kommuniziert mit der Logto Management API.
- Logto: Logto als Authentifizierungs- und Autorisierungsdienst. Stellt die Management API zur Verwaltung von Benutzerkonten bereit.
Sequenzdiagramm
- Der Benutzer greift auf die Client-Anwendung zu.
- Die Client-Anwendung sendet die Authentifizierungsanfrage an Logto und leitet den Benutzer zur Logto-Anmeldeseite weiter.
- Der Benutzer meldet sich bei Logto an.
- Der authentifizierte Benutzer wird mit dem Autorisierungscode zurück zur Client-Anwendung geleitet.
- Die Client-Anwendung fordert das Zugangstoken von Logto für den Zugriff auf die Self-hosted Kontoeinstellungen-API an.
- Logto gewährt der Client-Anwendung das Zugangstoken.
- Die Client-Anwendung sendet die Kontoeinstellungen-Anfrage an die serverseitige Anwendung mit dem Benutzer-Zugangstoken.
- Die serverseitige Anwendung prüft die Identität und Berechtigung des Anfragenden anhand des Benutzer-Zugangstokens. Dann fordert sie ein Management API-Zugangstoken von Logto an.
- Logto gewährt der serverseitigen Anwendung das Management API-Zugangstoken.
- Die serverseitige Anwendung fordert die Benutzerdaten von Logto mit dem Management API-Zugangstoken an.
- Logto prüft die Identität des Servers und die Management API-Berechtigung und gibt die Benutzerdaten zurück.
- Die serverseitige Anwendung verarbeitet die Benutzerdaten basierend auf der Berechtigung des Anfragenden und gibt die Kontodetails an die Client-Anwendung zurück.
Management API in serverseitige Anwendung integrieren
Sieh dir den Abschnitt Management API an, um zu erfahren, wie du die Management APIs in serverseitige Anwendungen integrierst.
Benutzerverwaltungs-APIs
Benutzerdaten-Schema
Sieh dir den Abschnitt Benutzerdaten und benutzerdefinierte Daten an, um mehr über das Benutzerschema in Logto zu erfahren.
Benutzerprofil- und Identifikatoren-Management APIs
Das Profil und die Identifikatoren eines Benutzers sind essenziell für die Benutzerverwaltung. Du kannst die folgenden APIs verwenden, um Benutzerprofile und Identifikatoren zu verwalten.
| method | path | description |
|---|---|---|
| GET | /api/users/{userId} | Benutzerdetails nach Benutzer-ID abrufen. |
| PATCH | /api/users/{userId} | Benutzerdetails aktualisieren. |
| PATCH | /api/users/{userId}/profile | Benutzerprofilfelder nach Benutzer-ID aktualisieren. |
| GET | /api/users/{userId}/custom-data | Benutzerdefinierte Daten nach Benutzer-ID abrufen. |
| PATCH | /api/users/{userId}/custom-data | Benutzerdefinierte Daten nach Benutzer-ID aktualisieren. |
| PATCH | /api/users/{userId}/is-suspended | Sperrstatus des Benutzers nach Benutzer-ID aktualisieren. |
E-Mail- und Telefonnummer-Verifizierung
Im Logto-System können sowohl E-Mail-Adressen als auch Telefonnummern als Benutzeridentifikatoren dienen, weshalb deren Verifizierung unerlässlich ist. Dafür stellen wir eine Reihe von Verifizierungscode-APIs bereit, um die angegebene E-Mail oder Telefonnummer zu verifizieren.
hinweis:
Stelle sicher, dass du die E-Mail oder Telefonnummer verifizierst, bevor du das Benutzerprofil mit einer neuen E-Mail oder Telefonnummer aktualisierst.
| method | path | description |
|---|---|---|
| POST | /api/verifications/verification-code | Verifizierungscode für E-Mail oder Telefonnummer senden. |
| POST | /api/verifications/verification-code/verify | E-Mail oder Telefonnummer mit Verifizierungscode prüfen. |
Benutzerpasswortverwaltung
| method | path | description |
|---|---|---|
| POST | /api/users/{userId}/password/verify | Aktuelles Benutzerpasswort nach Benutzer-ID prüfen. |
| PATCH | /api/users/{userId}/password | Benutzerpasswort nach Benutzer-ID aktualisieren. |
| GET | /api/users/{userId}/has-password | Prüfen, ob der Benutzer ein Passwort hat. |
hinweis:
Stelle sicher, dass du das aktuelle Passwort des Benutzers prüfst, bevor du das Passwort aktualisierst.
Verwaltung sozialer Identitäten des Benutzers
| method | path | description |
|---|---|---|
| GET | /api/users/{userId} | Benutzerdetails nach Benutzer-ID abrufen. Die sozialen Identitäten findest du im Feld identities. |
| POST | /api/users/{userId}/identities | Eine authentifizierte soziale Identität mit dem Benutzer nach Benutzer-ID verknüpfen. |
| DELETE | /api/users/{userId}/identities | Eine soziale Identität vom Benutzer nach Benutzer-ID trennen. |
| PUT | /api/users/{userId}/identities | Eine mit dem Benutzer verknüpfte soziale Identität direkt aktualisieren. |
| POST | /api/connectors/{connectorId}/authorization-uri | Die Autorisierungs-URI für einen sozialen Identitätsanbieter abrufen. Nutze diese URI, um eine neue Verbindung zu initiieren. |
- Der Benutzer greift auf die Client-Anwendung zu und fordert die Bindung einer sozialen Identität an.
- Die Client-Anwendung sendet eine Anfrage an den Server, um eine soziale Identität zu binden.
- Der Server sendet eine Anfrage an Logto, um die Autorisierungs-URI für den sozialen Identitätsanbieter zu erhalten. Du musst deinen eigenen
state-Parameter undredirect_uriin der Anfrage angeben. Stelle sicher, dass du dieredirect_uribeim sozialen Identitätsanbieter registrierst. - Logto gibt die Autorisierungs-URI an den Server zurück.
- Der Server gibt die Autorisierungs-URI an die Client-Anwendung zurück.
- Die Client-Anwendung leitet den Benutzer zur IdP-Autorisierungs-URI weiter.
- Der Benutzer meldet sich beim IdP an.
- Der IdP leitet den Benutzer mit dem Autorisierungscode und der
redirect_urizurück zur Client-Anwendung. - Die Client-Anwendung validiert den
stateund leitet die IdP-Antwort an den Server weiter. - Der Server sendet eine Anfrage an Logto, um die soziale Identität mit dem Benutzer zu verknüpfen.
- Logto holt die Benutzerinformationen vom IdP mit dem Autorisierungscode.
- Der IdP gibt die Benutzerinformationen an Logto zurück und Logto verknüpft die soziale Identität mit dem Benutzer.
hinweis:
Es gibt einige Einschränkungen, die beim Verknüpfen neuer sozialer Identitäten mit einem Benutzer zu beachten sind:
- Die Management API hat keinen Sitzungs-Kontext. Jeder Social Connector, der eine aktive Sitzung benötigt, um den sozialen Authentifizierungsstatus sicher zu halten, kann nicht über die Management API verknüpft werden. Nicht unterstützte Connectoren sind apple, Standard-OIDC und Standard-OAuth 2.0 Connector.
- Aus demselben Grund kann Logto den
state-Parameter in der Autorisierungsantwort nicht prüfen. Stelle sicher, dass du denstate-Parameter in deiner Client-App speicherst und prüfst, wenn die Autorisierungsantwort empfangen wird. - Du musst die
redirect_uriim Voraus beim sozialen Identitätsanbieter registrieren. Andernfalls wird der soziale IdP den Benutzer nicht zurück zu deiner Client-App weiterleiten. Dein sozialer IdP muss mehr als eine Callback-redirect_uriakzeptieren, eine für die Benutzeranmeldung, eine für deine eigene Profilbindungsseite.
Verwaltung von Enterprise-Identitäten des Benutzers
| method | path | description |
|---|---|---|
| GET | /api/users/{userId}?includeSsoIdentities=true | Benutzerdetails nach Benutzer-ID abrufen. Die Enterprise-Identitäten findest du im Feld ssoIdentities. Füge den Query-Parameter includeSsoIdentities=true hinzu, um sie einzuschließen. |
Derzeit unterstützt die Management API nicht das Verknüpfen oder Trennen von Enterprise-Identitäten mit einem Benutzer. Du kannst nur die mit einem Benutzer verknüpften Enterprise-Identitäten anzeigen.
Persönlicher Zugangstoken
| method | path | description |
|---|---|---|
| GET | /api/users/{userId}/personal-access-tokens | Alle persönlichen Zugangstokens des Benutzers abrufen. |
| POST | /api/users/{userId}/personal-access-tokens | Einen neuen persönlichen Zugangstoken für den Benutzer hinzufügen. |
| DELETE | /api/users/{userId}/personal-access-tokens/{name} | Einen Token für den Benutzer nach Name löschen. |
| PATCH | /api/users/{userId\s}/personal-access-tokens/{name} | Einen Token für den Benutzer nach Name aktualisieren. |
Persönliche Zugangstokens bieten eine sichere Möglichkeit für Benutzer, Zugangstoken (Access token) zu gewähren, ohne ihre Zugangsdaten und interaktive Anmeldung zu verwenden. Erfahre mehr über die Verwendung persönlicher Zugangstokens.
Verwaltung der MFA-Einstellungen des Benutzers
| method | path | description |
|---|---|---|
| GET | /api/users/{userId}/mfa-verifications | MFA-Einstellungen des Benutzers nach Benutzer-ID abrufen. |
| POST | /api/users/{userId}/mfa-verifications | Eine MFA-Verifizierung für den Benutzer einrichten. |
| DELETE | /api/users/{userId}/mfa-verifications/{verificationId} | Eine MFA-Verifizierung des Benutzers nach ID löschen. |
Benutzerkonto löschen
| method | path | description |
|---|---|---|
| DELETE | /api/users/{userId} | Einen Benutzer nach Benutzer-ID löschen. |
Verwaltung von Benutzersitzungen
| method | path | description |
|---|---|---|
| GET | /api/users/{userId}/sessions | Benutzersitzungen nach Benutzer-ID abrufen. |
| GET | /api/users/{userId}/sessions/{sessionId} | Eine Benutzersitzung nach Sitzungs-ID abrufen. |
| DELETE | /api/users/{userId}/sessions/{sessionId} | Eine Benutzersitzung nach Sitzungs-ID löschen. |