Para nuestros nuevos amigos:

Logto es una alternativa a Auth0 diseñada para aplicaciones modernas y productos SaaS. Ofrece servicios tanto de Cloud como de código abierto para ayudarte a lanzar rápidamente tu sistema de gestión e identidad (IAM). Disfruta de autenticación, autorización y gestión multi-tenant todo en uno.

Recomendamos comenzar con un tenant de desarrollo gratuito en Logto Cloud. Esto te permite explorar todas las características fácilmente.

En este artículo, repasaremos los pasos para construir rápidamente la experiencia de inicio de sesión de OAuth2 (autenticación de usuario) con iOS (Swift) y Logto.

Requisitos previos

• Una instancia de Logto en funcionamiento. Consulta la página de introducción para comenzar.
• Conocimientos básicos de iOS (Swift).
• Una cuenta de OAuth2 utilizable.

Crear una aplicación en Logto

Logto se basa en la autenticación OpenID Connect (OIDC) y la autorización OAuth 2.0. Admite la gestión de identidad federada a través de múltiples aplicaciones, comúnmente llamada inicio de sesión único (SSO).

Para crear tu aplicación Native app, simplemente sigue estos pasos:

1. Abre la Consola de Logto. En la sección "Comenzar", haz clic en el enlace "Ver todo" para abrir la lista de marcos de aplicaciones. Alternativamente, puedes navegar a Consola de Logto > Aplicaciones, y hacer clic en el botón "Crear aplicación".
2. En el modal que se abre, haz clic en la sección "Native app" o filtra todos los marcos "Native app" disponibles usando las casillas de filtro rápido a la izquierda. Haz clic en la tarjeta del marco "iOS (Swift)" para comenzar a crear tu aplicación.
3. Ingresa el nombre de la aplicación, por ejemplo, "Librería", y haz clic en "Crear aplicación".

🎉 ¡Ta-da! Acabas de crear tu primera aplicación en Logto. Verás una página de felicitaciones que incluye una guía de integración detallada. Sigue la guía para ver cómo será la experiencia en tu aplicación.

Integrar el SDK de iOS (Swift)

Añade Logto SDK como una dependencia

nota:

The minimum supported iOS version of Logto Swift SDK is iOS 13.

Logto Swift SDK comes in two major versions:

• v1: Opens the sign-in experience in an embedded WebView, which is required by the native social plugin targets, but does not support passkey sign-in (WebView does not support WebAuthn, the underlying standard of passkeys).
• v2 (beta): Opens the sign-in experience in ASWebAuthenticationSession (the system browser), which unlocks passkey sign-in and shares the browser session. Note that v2 removes the native social plugin targets; social connectors still work through the browser. If you depend on the native WeChat or Alipay SDK handoff, stay on v1.

This guide covers both versions. Choose your version in the tabs below, and the choice will be kept in sync throughout this guide.

Use the following URL to add Logto SDK as a dependency in Swift Package Manager.

https://github.com/logto-io/swift.git

Since Xcode 11, you can directly import a Swift package w/o any additional tool.

When Xcode asks for the package version, choose the version you want to integrate:

v2 (beta)

v2 is released as 2.0.0-beta.x prereleases until GA. Use 2.0.0-beta.1 or the latest 2.0.0-beta.x prerelease as the version. During beta, we recommend selecting the prerelease explicitly instead of relying on a normal version range to pick it automatically.

If you use Package.swift directly:

Package.swift

.package(url: "https://github.com/logto-io/swift.git", exact: "2.0.0-beta.1")

v1

Use the latest v1 release as the stable line. The latest v1 version is 1.2.0.

If you use Package.swift directly:

Package.swift

.package(url: "https://github.com/logto-io/swift.git", from: "1.2.0")

We do not support Carthage and CocoaPods at the time due to some technical issues.

Carthage

Carthage needs a xcodeproj file to build. We will try to find a workaround later.

CocoaPods

CocoaPods does not support local dependency and monorepo, thus it's hard to create a .podspec for this repo.

Inicializa LogtoClient

Inicializa el cliente creando una instancia de LogtoClient con un objeto LogtoConfig.

ContentView.swift

import Logto
import LogtoClient

let config = try? LogtoConfig(
  endpoint: "<your-logto-endpoint>", // Ej. http://localhost:3001
  appId: "<your-app-id>"
)
let client = LogtoClient(useConfig: config)

info:

Por defecto, almacenamos credenciales como el Token de ID (ID Token) y el Token de actualización (Refresh Token) en el Keychain. Así, el usuario no necesita iniciar sesión nuevamente cuando regresa.

Para desactivar este comportamiento, establece usingPersistStorage en false:

let config = try? LogtoConfig(
  // ...
  usingPersistStorage: false
)

Iniciar sesión

Antes de entrar en los detalles, aquí tienes una visión general rápida de la experiencia del usuario final. El proceso de inicio de sesión se puede simplificar de la siguiente manera:

1. Tu aplicación invoca el método de inicio de sesión.
2. El usuario es redirigido a la página de inicio de sesión de Logto. Para aplicaciones nativas, se abre el navegador del sistema.
3. El usuario inicia sesión y es redirigido de vuelta a tu aplicación (configurada como el URI de redirección).

Sobre el inicio de sesión basado en redirección

1. Este proceso de autenticación sigue el protocolo OpenID Connect (OIDC), y Logto aplica medidas de seguridad estrictas para proteger el inicio de sesión del usuario.
2. Si tienes múltiples aplicaciones, puedes usar el mismo proveedor de identidad (Logto). Una vez que el usuario inicia sesión en una aplicación, Logto completará automáticamente el proceso de inicio de sesión cuando el usuario acceda a otra aplicación.

Para aprender más sobre la lógica y los beneficios del inicio de sesión basado en redirección, consulta Experiencia de inicio de sesión de Logto explicada.

Configure redirect URI

v2 (beta)

Vamos a cambiar a la página de detalles de la aplicación en Logto Console. Añade un URI de redirección io.logto.app://callback y haz clic en "Guardar cambios".

In v2, the sign-in experience opens in ASWebAuthenticationSession (the system browser), and the redirect is routed back to your app through OS-level callback matching. For a custom scheme redirect URI such as io.logto.app://callback, register only the scheme part (io.logto.app) in your app's Info.plist, then add the full redirect URI to your Logto application's Redirect URIs.

In Xcode, open your app target, select Info, expand URL Types, and add one entry with io.logto.app in URL Schemes. If you edit Info.plist directly, add:

Info.plist

<key>CFBundleURLTypes</key>
<array>
  <dict>
    <key>CFBundleTypeRole</key>
    <string>Editor</string>
    <key>CFBundleURLName</key>
    <string>io.logto.app</string>
    <key>CFBundleURLSchemes</key>
    <array>
      <string>io.logto.app</string>
    </array>
  </dict>
</array>

For the browser flow in v2, you do not need to call LogtoClient.handle(url:); that plugin handoff API was removed with the embedded WebView flow.

Use Universal Links instead of a custom scheme?

You can also use an HTTPS redirect URI such as https://example.com/callback:

1. Add the Associated Domains capability to your app.
2. Configure webcredentials:example.com so ASWebAuthenticationSession can match HTTPS callbacks on iOS 17.4 and newer.
3. If the same URL should also open your app as a Universal Link outside the authentication session, configure applinks:example.com and host a valid apple-app-site-association file for the domain and path.
4. Add the HTTPS URI to your Logto application's Redirect URIs.
5. Pass the same URI to signInWithBrowser.

On iOS 17.4 and newer, the SDK uses ASWebAuthenticationSession's HTTPS callback matching API so HTTPS redirects can automatically complete and dismiss the session. On older iOS versions, the authorization request can still use the HTTPS redirect URI, but the session may not close automatically unless your app handles the Universal Link callback itself. Keep a custom scheme redirect as a compatibility option if you need automatic completion on older iOS versions.

v1

Vamos a cambiar a la página de detalles de la aplicación en Logto Console. Añade un URI de redirección io.logto://callback y haz clic en "Guardar cambios".

info:

The Redirect URI in iOS SDK is only for internal use. There's NO NEED to add a Custom URL Scheme until a connector asks.

Sign-in and sign-out

nota:

Antes de llamar a .signInWithBrowser(redirectUri:), asegúrate de haber configurado correctamente el URI de redirección en la Consola de Administración.

v2 (beta)

In v2, client.signOut(postLogoutRedirectUri:) performs a complete sign-out: it clears the local credentials, revokes the refresh token, and ends the Logto session by opening the end session endpoint in the system browser. The browser then navigates back to your app through the post sign-out redirect URI. Before using it, switch to the application details page of Logto Console, add the post sign-out redirect URI io.logto.app://signed-out and click "Save changes". The post sign-out redirect URI can use the same custom scheme you registered for sign-in.

For example, in a SwiftUI app:

ContentView.swift

struct ContentView: View {
  @State var isAuthenticated: Bool

  private let redirectUri = "io.logto.app://callback"
  private let postLogoutRedirectUri = "io.logto.app://signed-out"

  init() {
    isAuthenticated = client.isAuthenticated
  }

  var body: some View {
    VStack {
      if isAuthenticated {
        Button("Sign Out") {
          Task { [self] in
            let error = await client.signOut(postLogoutRedirectUri: postLogoutRedirectUri)
            if let error = error {
              print(error)
              return
            }
            isAuthenticated = false
          }
        }
      } else {
        Button("Sign In") {
          Task { [self] in
            do {
              try await client.signInWithBrowser(redirectUri: redirectUri)
              isAuthenticated = true
            } catch let error as LogtoClientErrors.SignIn {
              // error occurred during sign in
            } catch {
              // other errors
            }
          }
        }
      }
    }
  }
}

nota:

• You can also call client.signOut() without a post sign-out redirect URI. No Console configuration is needed in this case: the browser shows the Logto sign-out page, and the user returns to the app by dismissing it manually.
• If no UI context is available, you can call client.clearCredentials() to clear the local credentials and revoke the refresh token. Note that this keeps the Logto session in the browser, so the next signInWithBrowser may silently sign the user back in through that session.

v1

You can use client.signInWithBrowser(redirectUri:) to sign in the user and client.signOut() to sign out the user.

For example, in a SwiftUI app:

ContentView.swift

struct ContentView: View {
  @State var isAuthenticated: Bool

  init() {
    isAuthenticated = client.isAuthenticated
  }

  var body: some View {
    VStack {
      if isAuthenticated {
        Button("Sign Out") {
          Task { [self] in
            await client.signOut()
            isAuthenticated = false
          }
        }
      } else {
        Button("Sign In") {
          Task { [self] in
            do {
              try await client.signInWithBrowser(redirectUri: "io.logto://callback")
              isAuthenticated = true
            } catch let error as LogtoClientErrors.SignIn {
              // error occurred during sign in
            } catch {
              // other errors
            }
          }
        }
      }
    }
  }
}

Punto de control: Prueba tu aplicación

Ahora, puedes probar tu aplicación:

1. Ejecuta tu aplicación, verás el botón de inicio de sesión.
2. Haz clic en el botón de inicio de sesión, el SDK iniciará el proceso de inicio de sesión y te redirigirá a la página de inicio de sesión de Logto.
3. Después de iniciar sesión, serás redirigido de vuelta a tu aplicación y verás el botón de cierre de sesión.
4. Haz clic en el botón de cierre de sesión para limpiar el almacenamiento de tokens y cerrar sesión.

Añadir el conector OAuth2

Para habilitar un inicio de sesión rápido y mejorar la conversión de usuarios, conéctate con iOS (Swift) como un proveedor de identidad (IdP). El conector social de Logto te ayuda a establecer esta conexión en minutos permitiendo la entrada de varios parámetros.

Para añadir un conector social, simplemente sigue estos pasos:

1. Navega a Console > Connectors > Social Connectors.
2. Haz clic en "Add social connector" y selecciona "OAuth2".
3. Sigue la guía README y completa los campos requeridos y personaliza la configuración.

nota:

Si estás siguiendo la guía del Conector en el lugar, puedes omitir la siguiente sección.

Configura Standard OAuth 2.0 app

Crea tu app OAuth

Cuando abras esta página, suponemos que ya sabes a qué proveedor de identidad social quieres conectarte. Lo primero que debes hacer es confirmar que el proveedor de identidad admite el protocolo OAuth, que es un requisito previo para configurar un conector válido. Luego, sigue las instrucciones del proveedor de identidad para registrar y crear la app relevante para la autorización OAuth.

Configura tu conector

SÓLO admitimos el tipo de concesión "Authorization Code" por motivos de seguridad y se adapta perfectamente al escenario de Logto.

clientId y clientSecret se pueden encontrar en la página de detalles de tu app OAuth.

clientId: El client ID es un identificador único que identifica la aplicación cliente durante el registro con el servidor de autorización. Este ID es utilizado por el servidor de autorización para verificar la identidad de la aplicación cliente y asociar cualquier token de acceso autorizado con esa aplicación cliente específica.

clientSecret: El client secret es una clave confidencial que se emite a la aplicación cliente por el servidor de autorización durante el registro. La aplicación cliente utiliza esta clave secreta para autenticarse con el servidor de autorización al solicitar tokens de acceso. El client secret se considera información confidencial y debe mantenerse seguro en todo momento.

tokenEndpointAuthMethod: El método de autenticación del endpoint de token es utilizado por la aplicación cliente para autenticarse con el servidor de autorización al solicitar tokens de acceso. Para descubrir los métodos admitidos, consulta el campo token_endpoint_auth_methods_supported disponible en el endpoint de descubrimiento OpenID Connect del proveedor de servicios OAuth 2.0, o consulta la documentación relevante proporcionada por el proveedor de servicios OAuth 2.0.

clientSecretJwtSigningAlgorithm (Opcional): Solo es necesario cuando tokenEndpointAuthMethod es client_secret_jwt. El algoritmo de firma JWT del client secret es utilizado por la aplicación cliente para firmar el JWT que se envía al servidor de autorización durante la solicitud de token.

scope: El parámetro scope se utiliza para especificar el conjunto de recursos y permisos a los que la aplicación cliente solicita acceso. El parámetro scope suele definirse como una lista de valores separados por espacios que representan permisos específicos. Por ejemplo, un valor de scope "read write" podría indicar que la aplicación cliente solicita acceso de lectura y escritura a los datos de un usuario.

Se espera que encuentres authorizationEndpoint, tokenEndpoint y userInfoEndpoint en la documentación del proveedor social.

authenticationEndpoint: Este endpoint se utiliza para iniciar el proceso de autenticación. El proceso de autenticación normalmente implica que el usuario inicie sesión y otorgue autorización para que la aplicación cliente acceda a sus recursos.

tokenEndpoint: Este endpoint es utilizado por la aplicación cliente para obtener un token de acceso que puede usarse para acceder a los recursos solicitados. La aplicación cliente normalmente envía una solicitud al endpoint de token con un tipo de concesión y un código de autorización para recibir un token de acceso.

userInfoEndpoint: Este endpoint es utilizado por la aplicación cliente para obtener información adicional sobre el usuario, como su nombre completo, dirección de correo electrónico o foto de perfil. El endpoint de información del usuario normalmente se accede después de que la aplicación cliente ha obtenido un token de acceso del endpoint de token.

Logto también proporciona un campo profileMap que los usuarios pueden personalizar para mapear los perfiles de los proveedores sociales, que usualmente no son estándar. Las claves son los nombres de los campos estándar del perfil de usuario de Logto y los valores correspondientes deben ser los nombres de los campos del perfil social. En la etapa actual, Logto solo considera 'id', 'name', 'avatar', 'email' y 'phone' del perfil social, solo 'id' es obligatorio y los demás son campos opcionales.

responseType y grantType SOLO pueden ser valores FIJOS con el tipo de concesión authorization code, por lo que los hacemos opcionales y los valores predeterminados se completarán automáticamente.

Por ejemplo, puedes encontrar la respuesta del perfil de usuario de Google y, por lo tanto, su profileMap debería ser así:

{
  "id": "sub",
  "avatar": "picture"
}

nota:

Proporcionamos una clave OPCIONAL customConfig para poner tus parámetros personalizados. Cada proveedor de identidad social puede tener su propia variante sobre el protocolo estándar OAuth. Si tu proveedor de identidad social deseado se adhiere estrictamente al protocolo estándar OAuth, entonces no necesitas preocuparte por customConfig.

Tipos de configuración

Nombre	Tipo	Obligatorio
authorizationEndpoint	string	sí
userInfoEndpoint	string	sí
clientId	string	sí
clientSecret	string	sí
tokenEndpointResponseType	enum	no
responseType	string	no
grantType	string	no
tokenEndpoint	string	no
scope	string	no
customConfig	Record<string, string>	no
profileMap	ProfileMap	no

Campos de ProfileMap	Tipo	Obligatorio	Valor por defecto
id	string	no	id
name	string	no	name
avatar	string	no	avatar
email	string	no	email
phone	string	no	phone

Configuraciones generales

Aquí tienes algunas configuraciones generales que no bloquearán la conexión con tu proveedor de identidad pero pueden afectar la experiencia de autenticación del usuario final.

Nombre y logo del botón social

Si deseas mostrar un botón social en tu página de inicio de sesión, puedes establecer el nombre y el logo (modo oscuro y modo claro) del proveedor de identidad social. Esto ayudará a los usuarios a reconocer la opción de inicio de sesión social.

Nombre del proveedor de identidad

Cada conector social tiene un nombre único de Proveedor de Identidad (IdP) para diferenciar las identidades de los usuarios. Mientras que los conectores comunes usan un nombre de IdP fijo, los conectores personalizados requieren un valor único. Aprende más sobre nombres de IdP para más detalles.

Sincronizar información del perfil

En el conector OAuth, puedes establecer la política para sincronizar la información del perfil, como nombres de usuario y avatares. Elige entre:

• Sincronizar solo al registrarse: La información del perfil se obtiene una vez cuando el usuario inicia sesión por primera vez.
• Sincronizar siempre al iniciar sesión: La información del perfil se actualiza cada vez que el usuario inicia sesión.

Almacenar tokens para acceder a APIs de terceros (Opcional)

Si deseas acceder a las APIs del Proveedor de Identidad y realizar acciones con la autorización del usuario (ya sea mediante inicio de sesión social o vinculación de cuenta), Logto necesita obtener scopes de API específicos y almacenar los tokens.

1. Añade los scopes requeridos en el campo scope siguiendo las instrucciones anteriores.
2. Habilita Almacenar tokens para acceso persistente a la API en el conector OAuth de Logto. Logto almacenará de forma segura los tokens de acceso en el Secret Vault.
3. Para proveedores de identidad OAuth/OIDC estándar, el scope offline_access debe incluirse para obtener un refresh token, evitando solicitudes repetidas de consentimiento del usuario.

aviso:

Mantén tu client secret seguro y nunca lo expongas en código del lado del cliente. Si se ve comprometido, genera uno nuevo inmediatamente en la configuración de la app de tu proveedor de identidad.

Utiliza el conector OAuth

Una vez que hayas creado un conector OAuth y lo hayas conectado a tu proveedor de identidad, puedes incorporarlo en tus flujos de usuario final. Elige las opciones que se adapten a tus necesidades:

Habilita el botón de inicio de sesión social

1. En Logto Console, ve a Inicio de sesión y cuenta > Registro e inicio de sesión.
2. Añade el conector OAuth en la sección Inicio de sesión social para permitir que los usuarios se autentiquen con tu proveedor de identidad.

Aprende más sobre la experiencia de inicio de sesión social.

Vincula o desvincula una cuenta social

Utiliza la Account API para construir un Centro de Cuenta personalizado en tu app que permita a los usuarios autenticados vincular o desvincular sus cuentas sociales. Sigue el tutorial de Account API

tip:

Está permitido habilitar el conector OAuth solo para vinculación de cuentas y acceso a la API, sin habilitarlo para inicio de sesión social.

Accede a las APIs del proveedor de identidad y realiza acciones

Tu aplicación puede recuperar los tokens de acceso almacenados desde el Secret Vault para llamar a las APIs de tu proveedor de identidad y automatizar tareas de backend. Las capacidades específicas dependen de tu proveedor de identidad y los scopes que hayas solicitado. Consulta la guía sobre cómo recuperar tokens almacenados para acceso a la API.

Gestiona la identidad social del usuario

Después de que un usuario vincule su cuenta social, los administradores pueden gestionar esa conexión en Logto Console:

1. Navega a Logto console > Gestión de usuarios y abre el perfil del usuario.
2. En Conexiones sociales, localiza el elemento del proveedor de identidad y haz clic en Gestionar.
3. En esta página, los administradores pueden gestionar la conexión social del usuario, ver toda la información del perfil otorgada y sincronizada desde su cuenta social, y comprobar el estado del token de acceso.

nota:

Algunas respuestas de token de acceso del Proveedor de Identidad no incluyen la información específica de scope, por lo que Logto no puede mostrar directamente la lista de permisos otorgados por el usuario. Sin embargo, siempre que el usuario haya consentido los scopes solicitados durante la autorización, tu aplicación tendrá los permisos correspondientes al acceder a la API OAuth.

Guarda tu configuración

Verifica que hayas completado los valores necesarios en el área de configuración del conector Logto. Haz clic en "Guardar y listo" (o "Guardar cambios") y el conector OAuth2 debería estar disponible ahora.

Habilitar el conector OAuth2 en la Experiencia de inicio de sesión

Una vez que crees un conector social con éxito, puedes habilitarlo como un botón "Continuar con OAuth2" en la Experiencia de inicio de sesión.

1. Navega a Consola > Experiencia de inicio de sesión > Registro e inicio de sesión.
2. (Opcional) Elige "No aplicable" para el identificador de registro si solo necesitas inicio de sesión social.
3. Añade el conector OAuth2 configurado a la sección "Inicio de sesión social".

Pruebas y Validación

Regresa a tu aplicación iOS (Swift). Ahora deberías poder iniciar sesión con OAuth2. ¡Disfruta!

Lecturas adicionales

Flujos de usuario final: Logto proporciona flujos de autenticación listos para usar, incluyendo MFA y SSO empresarial, junto con potentes APIs para la implementación flexible de configuraciones de cuenta, verificación de seguridad y experiencia multi-tenant.

Autorización (Authorization): La autorización define las acciones que un usuario puede realizar o los recursos a los que puede acceder después de ser autenticado. Explora cómo proteger tu API para aplicaciones nativas y de una sola página e implementar el Control de Acceso Basado en Roles (RBAC).

Organizaciones (Organizations): Particularmente efectivo en aplicaciones SaaS multi-tenant y B2B, la función de organización permite la creación de inquilinos, gestión de miembros, RBAC a nivel de organización y aprovisionamiento justo a tiempo.

Serie IAM del cliente: Nuestros artículos de blog en serie sobre la Gestión de Identidad y Acceso del Cliente (o Consumidor), desde los conceptos básicos hasta temas avanzados y más allá.