Saltar al contenido principal

Comprende el flujo de autenticación OIDC

Logto está construido sobre los estándares OAuth 2.0 y OpenID Connect (OIDC). Comprender estos estándares de autenticación hará que el proceso de integración sea más fluido y sencillo.

Flujo de autenticación de usuario

Esto es lo que sucede cuando un usuario inicia sesión con Logto:

En este flujo, varios conceptos clave son esenciales para el proceso de integración:

  • Aplicación: Esto representa tu app en Logto. Crearás una configuración de aplicación en la Consola de Logto para establecer una conexión entre tu aplicación real y los servicios de Logto. Aprende más sobre Aplicación.
  • Redirect URI: Después de que los usuarios completen la autenticación en la página de inicio de sesión de Logto, Logto los redirige de vuelta a tu aplicación a través de este URI. Deberás configurar el Redirect URI en la configuración de tu Aplicación. Para más detalles, consulta Redirect URIs.
  • Procesar el callback de inicio de sesión: Cuando Logto redirige a los usuarios de vuelta a tu aplicación, tu app necesita procesar los datos de autenticación y solicitar tokens de acceso e información del usuario. No te preocupes: el SDK de Logto maneja esto automáticamente.

Esta visión general cubre lo esencial para una integración rápida. Para una comprensión más profunda, consulta nuestra guía Experiencia de inicio de sesión explicada.

Flujo de autenticación máquina a máquina

Logto proporciona el tipo de aplicación máquina a máquina (M2M) para habilitar la autenticación directa entre servicios, basada en el flujo de credenciales de cliente de OAuth 2.0:

Este flujo de autenticación máquina a máquina (M2M) está diseñado para aplicaciones que necesitan comunicarse directamente con recursos sin interacción del usuario (por lo tanto, sin interfaz gráfica), como un servicio de API que actualiza datos de usuario en Logto o un servicio de estadísticas que extrae pedidos diarios.

En este flujo, los servicios se autentican usando credenciales de cliente: una combinación de ID de aplicación y Secreto de aplicación que identifica y autentica de manera única al servicio. Estas credenciales sirven como la identidad del servicio al solicitar tokens de acceso a Logto.

Flujo de dispositivo (dispositivos con entrada limitada)

Para dispositivos con capacidades de entrada limitadas (por ejemplo, televisores inteligentes, consolas de juegos, herramientas CLI, dispositivos IoT), Logto admite el OAuth 2.0 Device Authorization Grant. El dispositivo muestra un código y una URL, mientras que el usuario completa la autenticación en otro dispositivo con navegador:

En este flujo:

  • El dispositivo solicita un código de dispositivo a Logto, recibiendo un breve user_code y un verification_uri.
  • El usuario visita la URL de verificación en otro dispositivo (teléfono, portátil), ingresa el código e inicia sesión.
  • El dispositivo consulta el endpoint de token hasta que el usuario complete la autorización, y luego recibe los tokens.

A diferencia del flujo estándar de usuario, el flujo de dispositivo no requiere Redirect URIs ni capacidades de navegador en el propio dispositivo. Aprende más en el inicio rápido del flujo de dispositivo.

Flujo de autenticación SAML

Además de OAuth 2.0 y OIDC, Logto también admite autenticación SAML (Security Assertion Markup Language), actuando como Proveedor de Identidad (IdP) para permitir la integración con aplicaciones empresariales. Actualmente, Logto admite el flujo de autenticación iniciado por el SP:

Flujo iniciado por el SP

En el flujo iniciado por el SP, el proceso de autenticación comienza desde el Proveedor de Servicios (tu aplicación):

En este flujo:

  • El usuario inicia el proceso de autenticación desde tu aplicación (Proveedor de Servicios)
  • Tu aplicación genera una solicitud SAML y redirige al usuario a Logto (Proveedor de Identidad)
  • Tras la autenticación exitosa en Logto, se envía una respuesta SAML de vuelta a tu aplicación
  • Tu aplicación procesa la respuesta SAML y completa la autenticación

Flujo iniciado por el IdP

Logto admitirá el flujo iniciado por el IdP en futuras versiones, permitiendo a los usuarios iniciar el proceso de autenticación directamente desde el portal de Logto. Mantente atento a las actualizaciones sobre esta función.

Esta integración SAML permite que las aplicaciones empresariales aprovechen Logto como su proveedor de identidad, admitiendo tanto proveedores de servicios modernos como aquellos basados en SAML heredado.

Blog: Asegura aplicaciones en la nube con OAuth 2.0 y OpenID Connect

Por qué el inicio de sesión único (SSO) para múltiples aplicaciones es mejor

Por qué necesitas un sistema de identidad centralizado para un negocio multi-aplicación