Zum Hauptinhalt springen

Registrierung und Anmeldung

Registrierung und Anmeldung sind der zentrale Interaktionsprozess für Endbenutzer, um sich zu authentifizieren und den Zugriff auf Client-Anwendungen zu autorisieren. Als zentralisierte, OIDC-basierte CIAM-Plattform bietet Logto eine universelle Anmeldeerfahrung für Benutzer über mehrere Client-Anwendungen und Plattformen hinweg.

Benutzerfluss

In einem typischen OIDC Authentifizierungsfluss beginnt der Benutzer damit, die Client-App zu öffnen. Die Client-App sendet eine Autorisierungsanfrage (Authorization request) an den Logto OIDC-Provider. Wenn der Benutzer keine aktive Sitzung hat, fordert Logto den Benutzer auf, zur von Logto gehosteten Anmeldeseite zu wechseln. Der Benutzer interagiert mit der Logto-Erfahrungsseite und wird durch die Angabe der erforderlichen Anmeldedaten authentifiziert. Sobald der Benutzer erfolgreich authentifiziert ist, leitet Logto den Benutzer mit dem Autorisierungscode (Authorization code) zurück zur Client-App. Die Client-App sendet dann eine Token-Anfrage (Token request) an den Logto OIDC-Provider mit dem Autorisierungscode, um die Tokens zu erhalten.

Benutzerinteraktion

Für jede Benutzerinteraktion wird eine Interaktionssitzung (interaction session) erstellt, wenn eine Client-App eine Autorisierungsanfrage initiiert. Diese Sitzung zentralisiert den Status der Benutzerinteraktion über mehrere Client-Anwendungen hinweg und ermöglicht es Logto, eine konsistente Anmeldeerfahrung zu bieten. Während Benutzer zwischen Client-Apps wechseln, bleibt die Interaktionssitzung konsistent, wodurch der Authentifizierungsstatus des Benutzers erhalten bleibt und wiederholte Anmeldungen über Plattformen hinweg reduziert werden. Sobald die Interaktionssitzung eingerichtet ist, wird der Benutzer zur Anmeldung bei Logto aufgefordert.

Die Experience-App in Logto ist eine dedizierte, gehostete Anwendung, die die Anmeldeerfahrung ermöglicht. Wenn Benutzer sich authentifizieren müssen, werden sie zur Experience-App weitergeleitet, wo sie ihre Anmeldung abschließen und mit Logto interagieren. Die Experience-App nutzt die aktive Interaktionssitzung, um den Fortschritt der Benutzerinteraktion zu verfolgen und zu unterstützen.

Um diese Benutzerreise zu unterstützen und zu steuern, stellt Logto eine Reihe von sitzungsbasierten Experience APIs bereit. Diese APIs ermöglichen es der Experience-App, eine Vielzahl von Methoden zur Benutzeridentifikation und -verifizierung zu handhaben, indem sie den Status der Interaktionssitzung in Echtzeit aktualisiert und abruft.

Sobald der Benutzer alle Validierungs- und Verifizierungsanforderungen erfüllt hat, wird die Interaktionssitzung mit einer Ergebniseinreichung an den OIDC-Provider abgeschlossen, wobei der Benutzer vollständig authentifiziert ist und seine Zustimmung erteilt hat, wodurch der sichere Anmeldeprozess abgeschlossen wird.

hinweis:

Experience-Seiten sind so konzipiert, dass sie nur über den Authentifizierungsfluss aufgerufen werden können. Um zu verhindern, dass Suchmaschinen diese Seiten indexieren, und um direkten Zugriff zu vermeiden, fügt Logto automatisch <meta name="robots" content="noindex, nofollow" /> zur Experience-HTML-Seite hinzu.

Anpassung der Anmeldeerfahrung

Logto bietet eine flexible und anpassbare Benutzererfahrung für verschiedene geschäftliche Anforderungen, einschließlich individuellem Branding, Benutzeroberfläche und Benutzerinteraktionsflüssen. Die Experience-App kann an die Branding- und Sicherheitsanforderungen der Client-Anwendung angepasst werden.

Lerne mehr über die Einrichtung der Anmeldeerfahrung Setup und Anpassung in Logto.

Häufige Anmeldemethoden

Abhängig von deinen Produktanforderungen kannst du mehrere Anmeldemethoden in derselben von Logto gehosteten Experience kombinieren:

  • E-Mail / Telefon / Benutzername Anmeldung: Klassische Identifier-First-Anmeldung mit Passwort oder Verifizierungscode.
  • Soziale Anmeldung: Anmeldung mit Google, GitHub, Facebook und anderen sozialen Anbietern.
  • Passkey-Anmeldung: Passwortlose Anmeldung mit WebAuthn-Passkeys, einschließlich Direktbutton, Identifier-First-Passkey-Verifizierung und Autofill-basierter Anmeldung.

FAQs

Anmeldemethode oder Branding pro App

Für Anwendungen oder Organisationen, die unterschiedliche Anmelde-UIs benötigen, unterstützt Logto App-spezifisches Branding und Organisationsspezifisches Branding.

Wenn du je nach Benutzertyp oder Seite verschiedene Anmeldemethoden anbieten möchtest, verwende einfach Authentifizierungsparameter (z. B. first_screen und direct_sign_in), um Benutzer auf eine Endbenutzerseite mit maßgeschneiderten Anmeldeoptionen zu leiten.

E-Mail-Domain / IP-Adresse / Region einschränken

Für attributbasierte Zugangskontrolle, z. B. um die Anmeldung basierend auf E-Mail-Domain, IP-Adresse oder Region zu beschränken, kannst du die Funktion Benutzerdefinierte Token-Ansprüche (Custom token claims) in Logto verwenden, um Autorisierungsanfragen basierend auf den Attributen des Benutzers abzulehnen oder zuzulassen.

Headless API für Anmeldung und Registrierung

Derzeit bietet Logto keine Headless API für Anmeldung und Registrierung. Du kannst jedoch deine eigene Anmelde-UI mit Bring your own UI verwenden, um die Anmelde- und Registrierungserfahrung anzupassen.

Warum du den Resource Owner Password Credentials (ROPC) Grant-Typ nicht mehr verwenden solltest

Warum du den Autorisierungscode-Fluss anstelle des Implicit-Flows verwenden solltest

Vergleich von tokenbasierter Authentifizierung und sitzungsbasierter Authentifizierung