Logto: современная open-source аутентификация для SaaS и AI-приложений

«Построено для команд, масштабирующих SaaS, AI и агентные платформы — без обычной головной боли с авторизацией.»

Что такое Logto и для кого он предназначен

Logto — это современная open-source инфраструктура аутентификации и авторизации для SaaS и AI-приложений, которая упрощает работу с OIDC и OAuth 2.1, позволяя быстро создать безопасную, production-ready систему авторизации с поддержкой мультитенантности, корпоративного SSO и RBAC.

Проект пользуется доверием публичных компаний, быстрорастущих стартапов и государственных организаций.

Целевая аудитория:

  • Разработчики SaaS-продуктов, которым нужна корпоративная аутентификация «из коробки»
  • Команды, строящие AI-агентов и MCP-серверы, — Logto нативно поддерживает Model Context Protocol
  • Инженерные стартапы, ценящие контроль над своим identity-стеком и избегающие vendor lock-in
  • Технические команды, которым нужна self-hosted альтернатива Auth0 или Okta
ℹ Open Source с облачным вариантом
Logto распространяется под лицензией MPL-2.0 и доступен как для self-hosted развёртывания, так и в виде полностью управляемого облачного сервиса Logto Cloud.

Архитектура и принцип работы


graph LR
    A[Пользователь / AI-агент] -->|Запрос входа| B[Logto Auth Server]
    B -->|OIDC / OAuth 2.1| C[Identity Provider]
    C -->|ID Token + Access Token| B
    B -->|JWT Access Token| D[Ваше приложение / API]
    D -->|Проверка токена| E[Защищённые ресурсы]
    B -.->|RBAC / Organization| F[Multi-tenant контроль доступа]

Logto предоставляет комплексные решения аутентификации для веб-, мобильных и десктопных приложений, поддерживает Machine-to-Machine (M2M) аутентификацию между сервисами, device flow для устройств с ограниченным вводом и может выступать в роли Identity Provider для сторонних приложений через стандартные протоколы OIDC и OAuth 2.0.


Ключевые возможности

🔐 Методы аутентификации

Поддерживается passwordless через одноразовые коды по email или SMS, а также социальный вход через Google, Apple, Discord и другие провайдеры. Двухфакторная аутентификация настраивается за несколько минут — passkeys, приложения-аутентификаторы, резервные коды.

🏢 Мультитенантность и организации

Logto предоставляет гибкую токен-ориентированную авторизацию для современных SaaS и AI-приложений, позволяя защищать API-ресурсы как глобально, так и в контексте каждой организации. Все разрешения управляются через систему RBAC с расширенной поддержкой мультитенантных приложений с помощью шаблонов организаций.

🤖 Поддержка AI и MCP

Logto работает «из коробки» для Model Context Protocol и агентных AI-архитектур. Вход и SSO можно встраивать прямо в чат-бот — пользователи получают запрос, когда это необходимо, а аутентификация обрабатывается безопасно через перенаправления OIDC/OAuth.

📦 SDK и интеграции

Готовые потоки входа, настраиваемый UI и SDK для 30+ фреймворков. Если вы используете AI-инструменты для разработки, доступен Logto MCP Server — он определяет ваш фреймворк, создаёт приложения и генерирует рабочий код.

🛡️ Безопасность

Logto по умолчанию применяет PKCE, блокирует небезопасные потоки вроде implicit flow и использует перенаправления для безопасной обработки входа. Встроенная защита блокирует поддельные регистрации, брутфорс-атаки и credential stuffing с помощью многоуровневой безопасности — практики, принятые в корпоративном SaaS, перенесены в мир AI-агентов.

🔧 Пример интеграции (Node.js)

import { LogtoClient } from '@logto/node';

const client = new LogtoClient({
  endpoint: 'https://your-tenant.logto.app',
  appId: 'your-app-id',
  appSecret: 'your-app-secret',
});

// Проверка токена и получение claims пользователя
const userInfo = await client.getContext({
  accessToken: request.headers.authorization?.split(' ')[1],
});

console.log(userInfo.sub); // ID пользователя
console.log(userInfo.organizations); // Организации (мультитенантность)
💡 Быстрый старт
Logto Cloud запускается за несколько минут — без настройки сервера. Зарегистрируйтесь на logto.io, создайте tenant и следуйте интерактивному гайду по интеграции для вашего фреймворка.

Тарифы и цены

Logto предлагает понятную, usage-based модель ценообразования, масштабируемую вместе с вашим приложением.

ТарифЦенаЧто включено
Free$0/мес~30–50k MAU, 3 приложения, 1 M2M, базовые функции
Pro$24/мес + Pay-as-you-goUnlimited MAU, RBAC, организации, MFA, Enterprise SSO, webhooks
EnterpriseПо запросуSLA, HIPAA BAA, контрактное ценообразование

Бесплатный тариф даёт 100k токенов, что обеспечивает примерно 30–50k MAU. В отличие от конкурентов, берущих плату за каждого пользователя, токен-ориентированная модель Logto означает неограниченное количество MAU на Pro-плане, что делает его экономически выгоднее по мере роста аудитории.

На Free-плане доступно 3 приложения (клиента), 1 M2M-приложение, 1 API-ресурс, 1 developer-аккаунт, ограниченные роли и один webhook — без поддержки организаций.

⚠ Внимание на add-ons
На Pro-плане дополнительные M2M-приложения стоят $8 каждое, SAML-приложения — $96, API-ресурсы — $4 каждый сверх базовых. При активном использовании B2B-функций итоговый счёт может существенно вырасти.

Доступны варианты развёртывания: on-premise и SaaS. Self-hosted версия является бесплатной и близка по функциональности к платному облачному варианту.


Плюсы и минусы

✅ Плюсы❌ Минусы
Open-source (MPL-2.0), можно self-hostОтносительно молодой проект (~5 лет)
Нативная поддержка MCP и AI-агентовAdd-ons на Pro могут быстро накапливаться
SDK для 30+ фреймворковFree-план жёстко ограничен по количеству приложений
Современный UI консоли управленияСложная настройка для нетехнических пользователей
Токен-ориентированная цена без лимитов MAUМеньше интеграций, чем у Auth0 или Okta
Встроенные RBAC, MFA, passwordlessIdP-initiated SAML flow — ещё в разработке
Поддержка OIDC, OAuth 2.1, SAMLСообщество меньше, чем у Keycloak
Управляемый Cloud и self-hosted вариантДокументация местами неполная

Сравнение с альтернативами

Logto создан для разработчиков, строящих современные SaaS-продукты: он приоритизирует скорость настройки, TypeScript-эргономику и мультитенантность — функции, для достижения которых Keycloak требует значительной конфигурации.

ПараметрLogtoAuth0Keycloak
Open-source✅ MPL-2.0❌ Проприетарный✅ Apache-2.0
Self-hosted
Бесплатный тариф✅ до ~50k MAU✅ до 7.5k MAU✅ (self-hosted)
Цена Pro$24/месНе публикуетсяБесплатно (self-host)
Мультитенантность✅ Из коробки⚠️ Сложная настройка
Поддержка MCP/AI✅ Нативная
SDK для фреймворков30+50+~20
Современный UI⚠️ Устаревший
Ресурсы сервера~256 MB RAMN/A (облако)512 MB–2 GB RAM
GitHub-звёзды (2026)~12kN/A~34k

Logto позиционирует себя как open-source альтернативу Auth0 с акцентом на developer experience. Keycloak — самый зрелый вариант, поддерживаемый Red Hat, используемый крупными предприятиями по всему миру.

📝 Когда выбрать что
  • Logto — новый SaaS или AI-продукт, TypeScript-стек, нужна мультитенантность из коробки
  • Auth0 — нужно максимум интеграций и надёжный managed-сервис, бюджет не ограничен
  • Keycloak — крупная enterprise-среда, Java-экспертиза в команде, нужен максимальный контроль

Вердикт

Logto — это open-source IAM-платформа, которая даёт стартапам современную, standards-based аутентификацию и авторизацию без тяжёлого enterprise-багажа, балансируя между developer experience, гибкостью и экономичностью, особенно когда нужен self-hosted вариант или необходимо избежать vendor lock-in.

Платформа особенно хорошо подходит для SaaS-компаний, продающих enterprise-клиентам, поскольку предоставляет SSO и RBAC «из коробки». Нативная поддержка Model Context Protocol делает Logto предпочтительным выбором для команд, строящих AI-приложения нового поколения.

Кому подойдёт:

  • Engineering-driven стартапам на TypeScript/Node.js
  • B2B SaaS-командам с enterprise-клиентами
  • Разработчикам AI-агентов и MCP-серверов
  • Компаниям из regulated-индустрий, которым нужен self-hosted

Кому не подойдёт:

  • Нетехническим командам без DevOps-экспертизы
  • Продуктам, уже глубоко интегрированным с Firebase/Supabase Auth

Итоговый рейтинг

КритерийОценка
Функциональность9/10
Developer Experience9/10
Документация7/10
Цена/качество8/10
Зрелость/стабильность7/10
Общий рейтинг8/10