應用程式資料結構
簡介
在 Logto 中,應用程式 指的是已註冊於 Logto 平台,並獲授權可存取使用者資訊或代表使用者執行操作的特定軟體程式或服務。應用程式用於識別向 Logto API 發出的請求來源,以及管理使用者存取這些應用程式時的驗證 (Authentication) 與授權 (Authorization) 流程。
在 Logto 的登入體驗 (Sign-in experience) 中使用應用程式,讓使用者能從單一位置輕鬆存取並管理其已授權的應用程式,並享有一致且安全的驗證流程。這有助於簡化使用者體驗,並確保只有授權個體能存取敏感資訊或代表組織執行操作。
應用程式也用於 Logto 的稽核日誌 (Audit logs) 中,以追蹤使用者活動並識別潛在的安全威脅或漏洞。透過將特定操作與特定應用程式關聯,Logto 能提供資料存取與使用的詳細洞察,協助組織更好地管理其安全性與合規需求。 若你想將應用程式與 Logto 整合,請參閱 整合 Logto。
屬性
應用程式 ID
應用程式 ID 是用於識別你在 Logto 中應用程式的唯一自動產生金鑰,在 OAuth 2.0 中稱為 client id。
應用程式類型
應用程式 可為下列其中一種應用程式類型:
- 原生應用程式 (Native app):運行於原生環境的應用程式。例如 iOS app、Android app。
- 裝置流程應用程式 (Device flow app):專為輸入受限裝置或無頭應用(如智慧電視、遊戲主機、CLI 工具、IoT 裝置)設計的特殊原生應用程式。它使用 OAuth 2.0 Device Authorization Grant 取代標準的重導向流程。詳情請參閱 Device flow 快速入門。
- 單頁應用程式 (Single page app):運行於網頁瀏覽器中,能在不重新載入整個頁面的情況下更新伺服器資料的應用程式。例如 React DOM app、Vue app。
- 傳統網頁應用程式 (Traditional web app):僅由網頁伺服器渲染與更新頁面的應用程式。例如 JSP、PHP。
- 機器對機器 (M2M) 應用程式:運行於機器環境、無需使用者互動即可進行服務對服務通訊的應用程式。
應用程式密鑰
應用程式密鑰 是用於驗證 (Authentication) 系統中應用程式身分的金鑰,專為私有客戶端(傳統網頁與 M2M 應用程式)作為私密安全屏障。
單頁應用程式 (SPA) 與原生應用程式不提供應用程式密鑰。SPA 與原生應用程式屬於「公開客戶端」,無法安全保存密鑰(瀏覽器程式碼或應用程式包可被檢查)。Logto 以 PKCE、嚴格的 redirect URI / CORS 驗證、短效存取權杖 (Access token) 與重新整理權杖 (Refresh token) 輪替來保護這些應用程式。
應用程式名稱
應用程式名稱 是應用程式的人類可讀名稱,會顯示於管理主控台。
應用程式名稱 是 Logto 應用程式管理的重要組成部分,讓管理員能輕鬆識別並追蹤平台內各應用程式的活動。
請注意,應用程式名稱 應謹慎選擇,因為所有有權存取管理主控台的使用者都能看到。名稱應準確反映應用程式的用途與功能,並易於理解與辨識。
描述
應用程式的簡要描述會顯示於管理主控台的應用程式詳細頁。描述旨在為管理員提供應用程式的額外資訊,例如用途、功能及其他相關細節。
Redirect URI
Redirect URI 是預先為應用程式設定的一組有效重導向 URI。當使用者登入 Logto 並嘗試存取應用程式時,會被重導向至應用程式設定中允許的 URI 之一。
允許的 URI 清單用於驗證應用程式在驗證 (Authentication) 流程中發送給 Logto 的授權請求所包含的 redirect URI。若授權請求中的 redirect URI 與應用程式設定中的允許 URI 之一相符,則使用者驗證成功後會被重導向至該 URI。若 redirect URI 不在允許清單中,則不會重導向,驗證流程將失敗。
請確保所有有效的 redirect URI 都已加入 Logto 應用程式的允許清單,以確保使用者驗證後能順利存取應用程式。
你可以參考 Redirection endpoint 以獲得更多資訊。
了解 OIDC 授權碼流程中的 Redirect URI
萬用字元模式
適用範圍:單頁應用程式、傳統網頁應用程式
Redirect URI 支援萬用字元(*)模式,適用於如預覽部署等動態環境。萬用字元可用於 HTTP / HTTPS URI 的主機名稱與路徑部分。
規則:
- 僅允許在主機名稱與路徑中使用萬用字元
- 不允許在協定、連接埠、查詢參數或 hash fragment 中使用萬用字元
- 主機名稱萬用字元必須包含至少一個點(例如
https://*.example.com/callback)
範例:
https://*.example.com/callback- 匹配任何子網域https://preview-*.example.com/callback- 匹配預覽部署https://example.com/*/callback- 匹配任一路徑段
萬用字元 redirect URI 並非標準 OIDC,且可能增加攻擊面。請謹慎使用,並盡可能優先使用精確的 redirect URI。
登出後重導向 URI
登出後重導向 URI 是預先為應用程式設定的一組有效 URI,供使用者自 Logto 登出後重導向。
允許的 登出後重導向 URI 用於 OIDC 的 RP-Initiated(Relying Party Initiated)Logout 規範。此規範為應用程式發起使用者登出請求提供標準化方法,包含在使用者登出後重導向至預先設定的端點。
當使用者自 Logto 登出時,其工作階段將終止,並被重導向至應用程式設定中允許的 URI 之一。這確保使用者僅被導向至授權且有效的端點,避免將使用者重導向至未知或未驗證端點所帶來的未授權存取與安全風險。
你可以參考 RP-initiated logout 以獲得更多資訊。
CORS 允許來源
CORS(跨來源資源共用)允許來源 是允許應用程式向 Logto 服務發送請求的來源清單。不在允許清單中的來源將無法對 Logto 服務發送請求。
CORS 允許來源清單用於限制未授權網域對 Logto 服務的存取,並協助防範跨站請求偽造(CSRF)攻擊。透過在 Logto 為應用程式指定允許來源,服務可確保僅授權網域能發送請求。
允許來源清單應包含應用程式實際服務的來源。這可確保來自應用程式的請求被允許,而未授權來源的請求則會被阻擋。
OpenID 提供者設定端點
授權端點
授權端點 (Authorization Endpoint) 是 OIDC 術語,是用於啟動使用者驗證流程的必要端點。當使用者嘗試存取已註冊於 Logto 平台的受保護資源或應用程式時,會被重導向至 授權端點 以驗證身分並取得存取所請求資源的授權。
你可以參考 Authorization Endpoint 以獲得更多資訊。
權杖端點
權杖端點 (Token Endpoint) 是 OIDC 術語,是 OIDC 客戶端用來向 OIDC 提供者取得存取權杖 (Access token)、ID 權杖 (ID token) 或重新整理權杖 (Refresh token) 的 Web API 端點。
當 OIDC 客戶端需要取得存取權杖或 ID 權杖時,會攜帶授權憑證(通常為授權碼或重新整理權杖)向權杖端點發送請求。權杖端點驗證授權憑證,若有效則發放存取權杖或 ID 權杖給客戶端。
你可以參考 Token Endpoint 以獲得更多資訊。
Userinfo 端點
OpenID Connect UserInfo Endpoint。
總是發放重新整理權杖 (Refresh token)
適用範圍:傳統網頁、SPA
啟用後,Logto 將總是發放重新整理權杖 (Refresh token),無論驗證請求中是否帶有 prompt=consent,或權限範圍 (Scope) 是否包含 offline_access。
但除非必要(通常僅第三方 OAuth 整合需重新整理權杖時才有用),否則不建議這麼做,因為這不符合 OpenID Connect 標準,且可能導致問題。
重新整理權杖 (Refresh token) 輪替
預設值:true
啟用後,Logto 會在下列情況下,針對權杖請求發放新的重新整理權杖 (Refresh token):
- 若重新整理權杖已輪替(TTL 已延長)達一年;或
- 若重新整理權杖即將到期(已過原始存活時間 (TTL) 的 70% 以上);或
- 若客戶端為公開客戶端,例如原生應用程式或單頁應用程式 (SPA)。
對於公開客戶端,啟用此功能後,每當客戶端以重新整理權杖換取新存取權杖時,Logto 都會發放新的重新整理權杖。 雖然你仍可為這些公開客戶端關閉此功能,但強烈建議為安全考量保持啟用。
了解重新整理權杖 (Refresh token) 輪替
重新整理權杖 (Refresh token) 存活時間(TTL,天)
適用範圍:非 SPA;預設值:14 天
重新整理權杖可用於請求新存取權杖的有效期間,逾期即失效。每次權杖請求會將重新整理權杖的 TTL 延長至此值。
通常建議設較低的值。
注意:SPA(單頁應用程式)因安全考量不支援 TTL 延長。這表示 Logto 不會透過權杖請求延長 TTL。為提升使用者體驗,你可啟用「重新整理權杖輪替」功能,讓 Logto 在必要時發放新重新整理權杖。
若在授權請求中未帶上 offline_access 權限範圍 (Scope) 發放重新整理權杖,該權杖將綁定於使用者工作階段。工作階段 TTL 固定為 14 天。工作階段過期後,重新整理權杖即失效,無論其自身 TTL 設定為何。
若要讓重新整理權杖 TTL 設定完全生效,請確保在授權請求中包含 offline_access 權限範圍 (Scope)。
後端登出 URI
OpenID Connect 後端登出端點。詳情請參閱 聯邦登出:後端登出。
自訂資料
未列於預設應用程式屬性中的額外自訂應用程式資訊,使用者可依自身需求定義自訂資料欄位,例如業務專屬設定與配置。