管理使用者
通過 Logto Console 管理
瀏覽和搜尋使用者
要在 Logto Console 中訪問使用者管理功能,請導航至 Console > User management。進入後,你將看到所有使用者的表格視圖。
該表格由三個欄位組成:
- 使用者:顯示使用者的資訊,如頭像、全名、使用者名稱、電話號碼和電子郵件
- 來自應用程式:顯示使用者最初註冊的應用程式名稱
- 最近登入:顯示使用者最近一次登入的時間戳。
它支援 name、id、username、primary-phone、primary-email 的關鍵字映射。
新增使用者
使用 Console,開發者可以為終端使用者創建新帳戶。要這樣做,請點擊螢幕右上角的「新增使用者」按鈕。
在 Logto Console 或通過 Management API 創建使用者時(而非使用者通過 UI 自行註冊),你必須提供至少一個識別符:primary email、primary phone 或 username。name 欄位是可選的。
使用者創建後,Logto 將自動生成一個隨機密碼。初始密碼僅顯示一次,但你可以稍後 重設密碼。如果你想設置特定密碼,請在創建使用者後使用 Management API patch /api/users/{userId}/password 進行更新。
你可以一鍵複製 輸入的識別符(電子郵件地址 / 電話號碼 / 使用者名稱) 和 初始密碼,方便地將這些憑證分享給新使用者,以便他們登入並開始使用。
如果你想實現僅限邀請的註冊,我們建議 使用魔術連結邀請使用者。這樣只有白名單中的使用者才能自行註冊並設置自己的密碼。
查看和更新使用者資料
要查看使用者的詳細資訊,只需點擊使用者表格中的相應行。這將帶你進入「使用者詳細資訊」頁面,你可以在此找到使用者的資料資訊,包括:
- 驗證 (Authentication) 相關數據:
- 電子郵件地址 (primary_email):可編輯
- 電話號碼 (primary_phone):可編輯
- 使用者名稱 (username):可編輯
- 密碼 (has_password):你可以重新生成隨機密碼。了解更多關於「重設使用者密碼」的信息。
- 多重要素驗證 (MFA, Multi-factor authentication) (mfa_verification_factor):查看此使用者已設置的所有驗證因素(例如,通行密鑰、驗證器應用程式、備份代碼)。可以在 Console 中移除因素。
- 通行密鑰:當租戶啟用了 通行密鑰登入 時,你也可以在使用者詳細資訊頁面查看使用者的登入通行密鑰,並在需要時移除它們。這些通行密鑰由 MFA 使用的相同 WebAuthn 憑證模型支持。
- 個人存取權杖:創建、查看、重命名和刪除 個人存取權杖。
- 連接:
- 社交連接 (identities):
- 查看使用者已連接的社交帳戶,包括社交 ID 和從其社交提供者同步的資料詳細資訊(例如,如果使用者通過 Facebook 登入,將顯示「Facebook」條目)。
- 你可以移除現有的社交身分,但不能代表使用者連接新的社交帳戶。
- 對於啟用了 權杖存儲 的社交連接器,你可以在連接詳細頁面查看和管理存取權杖和重新整理權杖。
- 企業級單一登入 (Enterprise SSO) 連接 (sso_identities):
- 查看使用者已連接的企業身分,包括企業 ID 和從其企業身分提供者同步的資料詳細資訊。
- 你不能在 Console 中新增或移除企業 SSO 身分。
- 對於基於 OIDC 的企業連接器,若啟用了 權杖存儲,你可以在連接詳細頁面查看和刪除權杖。
- 社交連接 (identities):
- 使用者資料:姓名、頭像 URL、自訂數據和其他未包含的 OpenID Connect 標準宣告。所有這些資料欄位均可編輯。
- 會話:查看使用者的活動會話列表,包括裝置資訊、sessionId 和地理位置(如果適用)。在會話詳細頁面查看更多會話詳細資訊並撤銷它。
在移除社交連接之前,確認使用者有其他登入方法非常重要,例如其他社交連接、電話號碼、電子郵件或使用者名稱與密碼。如果使用者沒有其他登入方法,一旦移除社交連接,他們將無法再次訪問其帳戶。
查看使用者活動
要查看使用者的最近活動,請導航至「使用者詳細資訊」頁面的「使用者日誌」子標籤。在這裡,你可以找到顯示使用者最近活動的表格,包括執行的操作、操作結果、相關應用程式和使用者執行操作的時間。
點擊表格行以在使用者日誌中查看更多詳細資訊,例如 IP 地址、使用者代理、原始數據等。
暫停使用者
在「使用者詳細資訊」頁面,點擊「三點」->「暫停使用者」按鈕。
一旦使用者被暫停,該使用者將無法登入你的應用程式,並且在當前存取權杖過期後無法獲得新的存取權杖。此外,該使用者發出的任何 API 請求都將失敗。
如果你想重新激活此使用者,可以點擊「三點」->「重新激活使用者」按鈕。
刪除使用者
在「使用者詳細資訊」頁面,點擊「三點」->「刪除」按鈕。刪除使用者無法撤銷。
重設使用者密碼
在「使用者詳細資訊」頁面,點擊「三點」->「重設密碼」按鈕,然後 Logto 將自動重新生成一個隨機密碼。
重設密碼後,複製並發送給終端使用者。一旦「重設密碼」模態關閉,你將無法再查看密碼。如果忘記保存,可以再次重設。
你不能在 Logto Console 中為使用者設置特定密碼,但可以使用 Management API PATCH /api/users/{userId}/password 指定密碼。
管理使用者活動會話
在「使用者詳細資訊」頁面,點擊特定會話的「管理」按鈕進入「會話詳細資訊」頁面。在這裡,你可以查看會話的詳細資訊,例如裝置、位置和登入時間。如果你想讓使用者從此會話中登出,只需點擊右上角的「撤銷會話」按鈕,會話將立即被撤銷。
- 默認情況下,在 Console 中撤銷會話也會撤銷與該會話相關的所有第一方應用程式授權,使用者需要重新登入以恢復存取。任何預先發行的 不透明存取權杖 和 重新整理權杖 給第一方應用程式也將立即被撤銷。
- 對於具有
offline_access權限範圍的第三方應用程式,撤銷會話默認不會撤銷應用程式授權,任何預先發行的重新整理權杖仍可使用,直到授權過期。
管理使用者授權的第三方應用程式
在「使用者詳細資訊」頁面,你可以使用「授權的第三方應用程式」部分查看使用者的應用程式授權狀態。 此部分由使用者授權應用程式(授權)管理 API 支持。
對於每個授權的應用程式,Console 顯示:
- 應用程式名稱
- 應用程式 ID
- 存取創建時間
如果需要移除存取,點擊撤銷操作並在模態中確認。
撤銷應用程式授權將移除該應用程式與使用者相關的所有活動第三方授權。它還將立即撤銷該應用程式的任何預先發行的 不透明存取權杖 和 重新整理權杖。
密碼合規性檢查
在 Logto 中更新 密碼政策 後,現有使用者仍可以使用其當前密碼登入。只有新創建的帳戶需要遵循更新的密碼政策。
為了強化安全性,你可以使用 POST /api/sign-in-exp/default/check-password API 檢查使用者的密碼是否符合默認登入體驗中定義的當前政策。如果不符合,你可以使用 Account API 提示使用者通過自訂流程更新其密碼。
管理使用者的角色
在使用者詳細資訊頁面的「角色」標籤中,你可以輕鬆地分配或移除角色以達到預期效果。詳細資訊請查看 角色型存取控制 (RBAC)。
查看使用者所屬的組織
Logto 支援 組織 並可以管理其成員。你可以輕鬆查看使用者詳細資訊並查看他們所屬的組織。
通過 Logto Management API 管理
Management API 是一組提供 Logto 後端服務存取的 API。如前所述,使用者 API 是此服務的重要組成部分,並且可以支持多種場景。
與使用者相關的 RESTful API 安裝在 /api/users,除了使用者活動,即使用者日誌 /api/logs?userId=:userId。
你可以在多種使用情境中通過 Management API 管理使用者。例如 進階使用者搜尋、批量創建帳戶、僅限邀請註冊 等。
常見問題
如何限制特定使用者對某些應用程式的存取?
由於 Logto 的 Omni-sign-in 特性,它並未設計為在驗證之前限制使用者對某些應用程式的存取。 然而,你仍然可以設計應用程式特定的使用者角色和權限來保護你的 API 資源,並在使用者成功登入後驗證 API 存取的權限。 有關更多資訊,請參閱授權:角色型存取控制 (RBAC)。