
Logto: open-source аутентификация для SaaS и AI
Обзор Logto — open-source инфраструктуры аутентификации и авторизации для SaaS и AI-приложений на базе OIDC, OAuth 2.1, с RBAC и мультитенантностью.
Logto: современная open-source аутентификация для SaaS и AI-приложений
«Построено для команд, масштабирующих SaaS, AI и агентные платформы — без обычной головной боли с авторизацией.»
Что такое Logto и для кого он предназначен
Logto — это современная open-source инфраструктура аутентификации и авторизации для SaaS и AI-приложений, которая упрощает работу с OIDC и OAuth 2.1, позволяя быстро создать безопасную, production-ready систему авторизации с поддержкой мультитенантности, корпоративного SSO и RBAC.
Проект пользуется доверием публичных компаний, быстрорастущих стартапов и государственных организаций.
Целевая аудитория:
- Разработчики SaaS-продуктов, которым нужна корпоративная аутентификация «из коробки»
- Команды, строящие AI-агентов и MCP-серверы, — Logto нативно поддерживает Model Context Protocol
- Инженерные стартапы, ценящие контроль над своим identity-стеком и избегающие vendor lock-in
- Технические команды, которым нужна self-hosted альтернатива Auth0 или Okta
Архитектура и принцип работы
graph LR
A[Пользователь / AI-агент] -->|Запрос входа| B[Logto Auth Server]
B -->|OIDC / OAuth 2.1| C[Identity Provider]
C -->|ID Token + Access Token| B
B -->|JWT Access Token| D[Ваше приложение / API]
D -->|Проверка токена| E[Защищённые ресурсы]
B -.->|RBAC / Organization| F[Multi-tenant контроль доступа]
Logto предоставляет комплексные решения аутентификации для веб-, мобильных и десктопных приложений, поддерживает Machine-to-Machine (M2M) аутентификацию между сервисами, device flow для устройств с ограниченным вводом и может выступать в роли Identity Provider для сторонних приложений через стандартные протоколы OIDC и OAuth 2.0.
Ключевые возможности
🔐 Методы аутентификации
Поддерживается passwordless через одноразовые коды по email или SMS, а также социальный вход через Google, Apple, Discord и другие провайдеры. Двухфакторная аутентификация настраивается за несколько минут — passkeys, приложения-аутентификаторы, резервные коды.
🏢 Мультитенантность и организации
Logto предоставляет гибкую токен-ориентированную авторизацию для современных SaaS и AI-приложений, позволяя защищать API-ресурсы как глобально, так и в контексте каждой организации. Все разрешения управляются через систему RBAC с расширенной поддержкой мультитенантных приложений с помощью шаблонов организаций.
🤖 Поддержка AI и MCP
Logto работает «из коробки» для Model Context Protocol и агентных AI-архитектур. Вход и SSO можно встраивать прямо в чат-бот — пользователи получают запрос, когда это необходимо, а аутентификация обрабатывается безопасно через перенаправления OIDC/OAuth.
📦 SDK и интеграции
Готовые потоки входа, настраиваемый UI и SDK для 30+ фреймворков. Если вы используете AI-инструменты для разработки, доступен Logto MCP Server — он определяет ваш фреймворк, создаёт приложения и генерирует рабочий код.
🛡️ Безопасность
Logto по умолчанию применяет PKCE, блокирует небезопасные потоки вроде implicit flow и использует перенаправления для безопасной обработки входа. Встроенная защита блокирует поддельные регистрации, брутфорс-атаки и credential stuffing с помощью многоуровневой безопасности — практики, принятые в корпоративном SaaS, перенесены в мир AI-агентов.
🔧 Пример интеграции (Node.js)
import { LogtoClient } from '@logto/node';
const client = new LogtoClient({
endpoint: 'https://your-tenant.logto.app',
appId: 'your-app-id',
appSecret: 'your-app-secret',
});
// Проверка токена и получение claims пользователя
const userInfo = await client.getContext({
accessToken: request.headers.authorization?.split(' ')[1],
});
console.log(userInfo.sub); // ID пользователя
console.log(userInfo.organizations); // Организации (мультитенантность)
Тарифы и цены
Logto предлагает понятную, usage-based модель ценообразования, масштабируемую вместе с вашим приложением.
| Тариф | Цена | Что включено |
|---|---|---|
| Free | $0/мес | ~30–50k MAU, 3 приложения, 1 M2M, базовые функции |
| Pro | $24/мес + Pay-as-you-go | Unlimited MAU, RBAC, организации, MFA, Enterprise SSO, webhooks |
| Enterprise | По запросу | SLA, HIPAA BAA, контрактное ценообразование |
Бесплатный тариф даёт 100k токенов, что обеспечивает примерно 30–50k MAU. В отличие от конкурентов, берущих плату за каждого пользователя, токен-ориентированная модель Logto означает неограниченное количество MAU на Pro-плане, что делает его экономически выгоднее по мере роста аудитории.
На Free-плане доступно 3 приложения (клиента), 1 M2M-приложение, 1 API-ресурс, 1 developer-аккаунт, ограниченные роли и один webhook — без поддержки организаций.
Доступны варианты развёртывания: on-premise и SaaS. Self-hosted версия является бесплатной и близка по функциональности к платному облачному варианту.
Плюсы и минусы
| ✅ Плюсы | ❌ Минусы |
|---|---|
| Open-source (MPL-2.0), можно self-host | Относительно молодой проект (~5 лет) |
| Нативная поддержка MCP и AI-агентов | Add-ons на Pro могут быстро накапливаться |
| SDK для 30+ фреймворков | Free-план жёстко ограничен по количеству приложений |
| Современный UI консоли управления | Сложная настройка для нетехнических пользователей |
| Токен-ориентированная цена без лимитов MAU | Меньше интеграций, чем у Auth0 или Okta |
| Встроенные RBAC, MFA, passwordless | IdP-initiated SAML flow — ещё в разработке |
| Поддержка OIDC, OAuth 2.1, SAML | Сообщество меньше, чем у Keycloak |
| Управляемый Cloud и self-hosted вариант | Документация местами неполная |
Сравнение с альтернативами
Logto создан для разработчиков, строящих современные SaaS-продукты: он приоритизирует скорость настройки, TypeScript-эргономику и мультитенантность — функции, для достижения которых Keycloak требует значительной конфигурации.
| Параметр | Logto | Auth0 | Keycloak |
|---|---|---|---|
| Open-source | ✅ MPL-2.0 | ❌ Проприетарный | ✅ Apache-2.0 |
| Self-hosted | ✅ | ❌ | ✅ |
| Бесплатный тариф | ✅ до ~50k MAU | ✅ до 7.5k MAU | ✅ (self-hosted) |
| Цена Pro | $24/мес | Не публикуется | Бесплатно (self-host) |
| Мультитенантность | ✅ Из коробки | ✅ | ⚠️ Сложная настройка |
| Поддержка MCP/AI | ✅ Нативная | ❌ | ❌ |
| SDK для фреймворков | 30+ | 50+ | ~20 |
| Современный UI | ✅ | ✅ | ⚠️ Устаревший |
| Ресурсы сервера | ~256 MB RAM | N/A (облако) | 512 MB–2 GB RAM |
| GitHub-звёзды (2026) | ~12k | N/A | ~34k |
Logto позиционирует себя как open-source альтернативу Auth0 с акцентом на developer experience. Keycloak — самый зрелый вариант, поддерживаемый Red Hat, используемый крупными предприятиями по всему миру.
- Logto — новый SaaS или AI-продукт, TypeScript-стек, нужна мультитенантность из коробки
- Auth0 — нужно максимум интеграций и надёжный managed-сервис, бюджет не ограничен
- Keycloak — крупная enterprise-среда, Java-экспертиза в команде, нужен максимальный контроль
Вердикт
Logto — это open-source IAM-платформа, которая даёт стартапам современную, standards-based аутентификацию и авторизацию без тяжёлого enterprise-багажа, балансируя между developer experience, гибкостью и экономичностью, особенно когда нужен self-hosted вариант или необходимо избежать vendor lock-in.
Платформа особенно хорошо подходит для SaaS-компаний, продающих enterprise-клиентам, поскольку предоставляет SSO и RBAC «из коробки». Нативная поддержка Model Context Protocol делает Logto предпочтительным выбором для команд, строящих AI-приложения нового поколения.
Кому подойдёт:
- Engineering-driven стартапам на TypeScript/Node.js
- B2B SaaS-командам с enterprise-клиентами
- Разработчикам AI-агентов и MCP-серверов
- Компаниям из regulated-индустрий, которым нужен self-hosted
Кому не подойдёт:
- Нетехническим командам без DevOps-экспертизы
- Продуктам, уже глубоко интегрированным с Firebase/Supabase Auth
Итоговый рейтинг
| Критерий | Оценка |
|---|---|
| Функциональность | 9/10 |
| Developer Experience | 9/10 |
| Документация | 7/10 |
| Цена/качество | 8/10 |
| Зрелость/стабильность | 7/10 |
| Общий рейтинг | 8/10 |