分層安全,經過驗證的實踐。

Logto 使用嚴格的密碼策略、CAPTCHA、鎖定、僅邀請註冊和簽名密鑰輪換來保護你的應用程序——這些都是內置的。

banner

無需擔心的安全性

Logto 在你的身份基礎設施的每一層中都嵌入了企業級安全性——因此你可以保護用戶、降低風險並專注於構建產品。

保護你的身份基礎設施

內部處理身份驗證會增加風險。一個像 Logto 這樣的安全身份提供者將敏感的數據與應用程序邏輯分開,從而降低風險並確保用戶身份驗證的安全。

簡化的訪問管理

Logto 帶有必要的防護措施,如 CAPTCHA、識別碼鎖定、CSRF 保護和 DoS 防禦——從各個角度保護你的應用程序。

安全最佳實踐

Logto 自動應用現代安全標準——如強密碼政策、密鑰輪換、用戶停用和 OIDC 後台註銷——因此你不需手動設置或擔心遺漏任何事。

適應你的安全性

Logto 提供多種可定制的安全功能,讓你調整保護措施以滿足應用的特定要求。

figure

CAPTCHA

在你的登入流程中添加 CAPTCHA,比如 Google reCAPTCHA Enterprise 或 Cloudflare Turnstile,以阻止自動機械人攻擊並攔截惡意流量。適用於多種場景:

  • 登入
  • 註冊
  • 忘記密碼
figure

可配置的密碼策略

遵循 NIST 密碼指南,並自定義密碼策略以匹配你的安全級別偏好。

    figure

    識別碼鎖定

    在多次登入失敗後暫時鎖定識別碼,以阻止暴力破解攻擊並保護用戶賬戶。

      figure

      電子郵件阻止清單

      通過阻止臨時電子郵件地址、副地址或不需要的電子郵件域或地址來控制用戶群。

        figure

        僅邀請註冊

        通過安全的郵件魔術連結將註冊限制在受邀用戶,使用 Logto 的一次性令牌功能,確保安全和可控的上線過程——非常適合等候名單或敏感的平臺。

          figure

          停用用戶

          暫時禁用用戶賬戶以阻止訪問,而不刪除數據或用戶記錄。

            適用於所有方案的核心安全功能

            在 Logto,安全性是基礎性的——除了高級功能,核心保護默認內置並適用於所有用戶,無論規模。

            簽名密鑰輪換

            Logto 使用可配置的 EC 或 RSA 密鑰保護 JWT 和 cookie,並通過 CLI、API 或控制台輕鬆實現密鑰輪換——確保持續保護並與舊系統兼容。

            OIDC 後台註銷

            啟用集中註銷以防止會話劫持和未經授權的訪問。借助 OIDC 後台註銷,當用戶退出時,Logto 確保所有連接的應用程序都一起退出。

            CSRF 保護

            通過 Logto 的內置安全措施來防範 CSRF 攻擊,包括 OIDC 狀態檢查、PKCE、CORS 強制執行及安全的 cookie 處理——確保只有受信任的請求才能啟動身份驗證流程。

            DoS 保護

            通過 Cloudflare、Azure 防火牆、速率限制和 Logto 的可擴展基礎設施防範洪水和應用層攻擊——這些都旨在使你的身份系統在壓力下保持彈性。

            常見問題

            Logto 支援 DDoS 保護和速率限制嗎?

            解鎖更多功能,使用 Logto Cloud

            利用 Logto 強大的 RBAC(基於角色的訪問控制)獲得更大的訪問許可控制力並提高安全性