跳到主要内容

管理用户

通过 Logto 控制台管理

浏览和搜索用户

要访问 Logto 控制台中的用户管理功能,请导航到 控制台 > 用户管理。进入后,你会看到所有用户的表格视图。

该表格包含三列:

  • 用户:显示用户的信息,如头像、全名、用户名、手机号和邮箱
  • 来自应用程序:显示用户最初注册时所用的应用程序名称
  • 最近登录:显示用户最近一次登录的时间戳。

支持对 nameidusernameprimary-phoneprimary-email 进行关键词映射搜索。

添加用户

通过控制台,开发者可以为终端用户创建新账号。只需点击页面右上角的“添加用户”按钮即可。

在 Logto 控制台或通过 Management API 创建用户时(不是终端用户通过 UI 自助注册),你必须至少提供一个标识符:primary emailprimary phoneusernamename 字段为可选项。

用户创建后,Logto 会自动生成一个随机密码。初始密码只会显示一次,但你可以重置密码。如果你想设置特定密码,可以在用户创建后使用 Management API 的 patch /api/users/{userId}/password 进行更新。

你可以一键复制输入的标识符(邮箱地址 / 手机号 / 用户名)初始密码,方便将这些凭证分享给新用户,让他们可以登录并开始使用。

提示:

如果你想实现仅限邀请注册,推荐使用魔法链接邀请用户。这样只有白名单用户才能自助注册并设置自己的密码。

查看和更新用户资料

要查看用户详情,只需点击用户表格中的对应行。你将进入“用户详情”页面,可以查看用户的资料信息,包括:

  • 认证 (Authentication) 相关数据
    • 邮箱地址primary_email):可编辑
    • 手机号primary_phone):可编辑
    • 用户名username):可编辑
    • 密码has_password):可以重新生成随机密码。了解更多“重置用户密码”。
    • 社交连接identities):查看已绑定的社交账号及社交 ID。例如,用户用 Facebook 登录过,你会在列表中看到“Facebook”项。你可以在控制台移除已绑定的社交身份,但不能代替终端用户绑定新的社交身份。
    • 企业单点登录 (SSO) 连接sso_identities):查看已绑定的企业身份。你无法在控制台添加或移除 SSO 身份。
    • 多因素认证 (MFA)mfa_verification_factor):查看该用户已设置的所有认证因子(如通行密钥、认证器 App、备份码)。可以在控制台移除因子。
    • 个人访问令牌:创建、查看、重命名和删除个人访问令牌
  • 用户资料数据:姓名、头像 URL、自定义数据,以及未包含的其他 OpenID Connect 标准声明。这些资料字段均可编辑。
注意:

在移除社交连接前,请务必确认用户还有其他登录方式,如其他社交连接、手机号、邮箱或用户名加密码。如果用户没有其他登录方式,移除社交连接后将无法再次访问其账号。

查看用户活动

要查看用户的近期活动,请在“用户详情”页面切换到“用户日志”子标签页。你会看到一个表格,显示用户最近的操作,包括执行的动作、结果、相关应用程序及操作时间。

点击表格行可查看更多日志详情,如 IP 地址、用户代理、原始数据等。

挂起用户

在“用户详情”页面,点击“三点”->“挂起用户”按钮。

用户被挂起后,将无法登录你的应用,也无法在当前访问令牌过期后获取新的访问令牌。此外,该用户发起的任何 API 请求都会失败。

如需恢复该用户,只需点击“三点”->“恢复用户”按钮。

删除用户

在“用户详情”页面,点击“三点”->“删除”按钮。删除用户操作不可撤销。

重置用户密码

在“用户详情”页面,点击“三点”->“重置密码”按钮,Logto 会自动重新生成一个随机密码。

重置密码后,请复制并发送给终端用户。关闭“重置密码”弹窗后将无法再次查看密码。如果忘记保存,可以再次重置。

你无法在 Logto 控制台为用户设置特定密码,但可以使用 Management APIPATCH /api/users/{userId}/password 指定密码。

管理用户角色

在用户详情页的“角色”标签下,你可以轻松分配或移除角色以满足你的需求。详细信息请参考基于角色的访问控制 (RBAC)

查看用户所属组织

Logto 支持组织 (Organizations)并可管理其成员。你可以轻松查看用户详情及其所属的组织。

通过 Logto Management API 管理

Management API 是一组用于访问 Logto 后端服务的 API。如前所述,用户 API 是该服务的重要组成部分,可支持多种场景。

与用户相关的 RESTful API 挂载在 /api/users,用户活动(即用户日志)除外,日志接口为 /api/logs?userId=:userId

你可以在多种场景下通过 Management API 管理用户,如高级用户搜索批量创建账号仅限邀请注册等。

常见问题

如何限制特定用户访问某些应用?

由于 Logto 的 Omni-sign-in 特性,设计上并不支持在认证 (Authentication) 前限制用户访问某些应用。 不过,你仍然可以为应用设计特定的用户角色和权限来保护你的 API 资源,并在用户成功登录后在 API 访问时校验权限。 更多信息请参考授权 (Authorization):基于角色的访问控制 (RBAC)