注册和登录
注册和登录是终端用户认证 (Authentication) 和授权 (Authorization) 访问客户端应用程序的核心交互过程。作为一个基于 OIDC 的集中式 CIAM 平台,Logto 为用户在多个客户端应用程序和平台上提供了统一的登录体验。
用户流程
在典型的 OIDC 认证 (Authentication) 流程中,用户首先打开客户端应用程序。客户端应用程序向 Logto OIDC 提供商发送 授权请求 (Authorization request)。如果用户没有活跃的会话,Logto 会将用户引导到 Logto 托管的登录体验页面。用户与 Logto 体验页面进行交互,并通过提供必要的凭据进行认证 (Authentication)。一旦用户成功认证 (Authentication),Logto 会将用户重定向回客户端应用程序,并附带 授权码 (Authorization code)。客户端应用程序然后向 Logto OIDC 提供商发送 令牌请求 (Token request),以获取令牌。
用户交互
每当客户端应用程序发起授权请求时,会为每个用户交互创建一个 交互会话。此会话集中管理多个客户端应用程序的用户交互状态,使 Logto 能够提供一致的登录体验。当用户在客户端应用程序之间切换时,交互会话保持一致,维护用户的认证 (Authentication) 状态,减少跨平台重复登录的需要。一旦建立了 交互会话,用户将被提示登录到 Logto。
Logto 中的 体验应用程序 是一个专用的托管应用程序,用于促进登录体验。当用户需要认证 (Authentication) 时,他们会被引导到 体验应用程序,在这里完成登录并与 Logto 交互。体验应用程序 利用活跃的交互会话来跟踪和支持用户的交互进度。
为了支持和控制这一用户旅程,Logto 提供了一组基于会话的 Experience API。这些 API 使 体验应用程序 能够通过实时更新和访问交互会话状态来处理各种用户识别和验证方法。
一旦用户满足所有验证和核实要求,交互会话将以向 OIDC 提供商提交结果的方式结束,此时用户已完全认证 (Authentication) 并提供了同意,完成了安全的登录过程。
登录体验定制
Logto 为各种业务需求提供灵活且可定制的用户体验,包括自定义品牌、用户界面和用户交互流程。体验应用程序 可以根据客户端应用程序的品牌和安全要求进行定制。
常见问题解答
每个应用的登录体验方法或品牌
对于需要不同 登录 UI 的应用程序或组织,Logto 支持 应用程序特定品牌 和 组织特定品牌 定制。
如果你需要根据用户类型或站点提供不同的 登录方法,只需使用 认证 (Authentication) 参数(例如,first_screen 和 direct_sign_in)将用户引导到具有定制登录选项的终端用户页面。
限制电子邮件域 / IP 地址 / 地区
对于基于属性的访问控制,例如,基于电子邮件域、IP 地址或地区限制登录,你可以使用 Logto 中的 自定义令牌声明 功能,根据用户的属性拒绝或允许授权请求。
相关资源
为什么你应该弃用资源所有者密码凭证 (ROPC) 授权类型
为什么你应该使用授权码流程而不是隐式流程?
比较基于令牌的认证 (Authentication) 和基于会话的认证 (Authentication)