第三方应用(OAuth / OIDC)
Logto 的第三方应用集成让你可以将 Logto 作为外部应用的 身份提供商 (IdP)。
身份提供商 (IdP) 是一种验证用户身份并管理其登录凭据的服务。在确认用户身份后,IdP 会生成认证 (Authentication) 令牌或断言,并允许用户访问各种应用或服务,无需再次登录。
与 将 Logto 集成到你的应用 指南中你自己开发和完全控制的应用不同,第三方应用是由外部开发者或业务合作伙伴开发的独立服务。
这种集成方式非常适合常见的业务场景。你可以让用户使用他们的 Logto 账户访问合作伙伴应用,就像企业用户用 Google Workspace 登录 Slack 一样。你还可以构建一个开放平台,让第三方应用添加“使用 Logto 登录”功能,类似于“使用 Google 登录”。
Logto 是基于 OpenID Connect (OIDC) 协议构建的身份服务,提供 认证 (Authentication) 和 授权 (Authorization) 能力。这让集成 OIDC 第三方应用变得和传统 Web 应用一样简单。
由于 OIDC 是在 OAuth 2.0 之上增加了认证 (Authentication) 层,因此你也可以使用 OAuth 协议集成第三方应用。
在 Logto 中创建第三方应用
- 前往 控制台 > 应用
- 选择“第三方应用”作为应用类型,并选择以下集成协议之一:
- OIDC / OAuth
- 输入你的应用名称和描述,点击“创建”按钮。一个新的第三方应用就会被创建。
所有创建的第三方应用都会在应用页面的“第三方应用”标签下进行分类。这种安排有助于你将它们与你自己的应用区分开来,更方便地统一管理所有应用。
设置 OIDC 配置
在设置 OIDC 配置之前,请确保你已经创建了 OIDC 第三方应用。
-
提供你的 OIDC 第三方应用的 重定向 URI。这是第三方应用在用户通过 Logto 认证 (Authentication) 后重定向用户的 URL。 你通常可以在第三方应用的 IdP 连接设置页面找到此信息。
-
从 Logto 应用详情页获取 client ID 和 client secret,并将其填写到你的服务提供商的 IdP 连接设置页面。
-
从 Logto 应用详情页获取 授权端点 和 令牌端点,并提供给你的服务提供商。 如果你的服务提供商支持 OIDC 发现,你只需复制 Logto 应用详情页的 发现端点 并提供给服务提供商。服务提供商将能够自动从发现端点获取所有最新的 OIDC 认证 (Authentication) 信息。 否则,点击 显示端点详情 按钮以查看所有 OIDC 认证 (Authentication) 端点。
OIDC 第三方应用的用户授权页面 (Consent screen)
出于安全原因,所有 OIDC 第三方应用在通过 Logto 认证 (Authentication) 后都会被重定向到用户授权页面 (Consent screen)进行用户授权 (Authorization)。
所有第三方请求的用户资料权限、API 资源权限、组织权限以及组织成员信息都会在用户授权页面 (Consent screen) 上展示。
这些请求的权限只有在用户点击“授权 (Authorize)”按钮后才会授予第三方应用。
后续操作
了解如何为你的 OIDC 第三方应用管理权限。
个性化用户授权页面 (Consent screen) 外观,使其与你的品牌形象保持一致,提供一致的用户体验。
相关资源
使用场景:集成 Apache Answer,为你的用户搭建社区
使用 Logto 作为第三方身份提供商 (IdP)