Logto 採用基於 Token 的身份驗證，遵循 OAuth 2.0 和 OpenID Connect 標準。每次身份驗證或授權請求都會導致 Logto 發行代表用戶身份驗證或授權狀態的 Token，如訪問 Token、ID Token 和刷新 Token。

在計費方面，僅計算訪問 Token（不含 ID Token 和刷新 Token）。

在以下場景中會發行並計算一個訪問 Token：

用戶登入：用戶成功登入後，將發行一個不透明的訪問 Token。此 Token 可用於調用 UserInfo 端點或 Logto 帳戶 API 進行帳戶管理。
後端 API 授權（RBAC）：當啟用基於角色的訪問控制（RBAC）來保護你的後端 API 時，會在用戶初次身份驗證後為每個資源特定的授權請求發行一個 JWT 訪問 Token。
組織授權：如果啟用組織功能，Logto 通過發行組織訪問 Token 提供組織級別的訪問控制。每個組織特定的授權請求會單獨生成組織訪問 Token。
機器對機器（M2M）授權：每個 client_credentials 授權請求（例如訪問 Logto 管理 API 時）會發行一個訪問 Token。
Token 交換：在個人訪問 Token 交換或用戶冒充 Token 交換期間會發行一個新的訪問 Token。
刷新 Token 使用：如果啟用 offline_access，每次在先前 Token 過期後交換有效的刷新 Token 時會發行一個新的訪問 Token。

Token 與 MAU 以及為什麼基於 Token 的計費更好

基於 MAU 的計費是按月向每個唯一用戶收費，不論活動頻率。基於 Token 的計費則按實際使用量收取：每次 Token 發行時計費。

基於 Token 的計費代表真正的按需付費定價。與不論使用情況都按整月收費的基於 MAU 模式不同，你僅需為實際身份驗證和授權活動付費。這種方式對於低頻用戶來說更具成本效益，因為他們只會偶爾使用你的產品，從而產生更少的 Token，成本較基於 MAU 的固定價格更低。這使得 Logto 比競爭對手更具成本效益，特別是對於參與模式各異的應用程序。

例如，一次登入可能消耗 1 個訪問 Token。使用 M2M 或 Organizations 等功能會生成額外的 Token。為了跟蹤，Logto 在控制台 > 儀表板中提供實時 Token 使用情況監控，幫助你更好地理解 MAU 與 Token 之間的關係，以適合你的特定項目。

Base64 解碼器

解鎖更多功能，使用 Logto Cloud