GitHub 12.7K Star!比 Auth0 更轻、比 Supabase 更全:开源认证基础设施的终极形态

GitHub 12.7K Star!比 Auth0 更轻、比 Supabase 更全:开源认证基础设施的终极形态

雷达 tech-core

大家好,我是雷达君。

做一个 SaaS 产品,光是“用户登录”这一件事,就能让你掉一层皮。

邮箱密码登录要写一套,Google 登录要配一套,企业 SSO 又是一套。多租户?每个租户的权限隔离得自己设计。邀请团队成员?得写一套邀请码和审批流程。审计日志?得自己往数据库里插记录。更别提还要处理密码重置、邮箱验证、会话管理、MFA……

你算了一下,光是“用户身份”这一块,就要花掉你至少两周的开发时间。而这 14 天里,你的竞品可能已经上线了三个新功能。

这个问题的本质是:每一个 SaaS 产品都需要一套完整的认证和授权系统,但每一个团队都在重复发明同一个轮子。

今天雷达君要安利的这个开源项目,就是来终结这种重复劳动的。它是一个现代的、开源的认证与授权基础设施,为 SaaS 和 AI 应用而生。它把 OIDC、OAuth 2.1、多租户、企业 SSO、RBAC 这些本该让你头疼的东西,全部打包成一个开箱即用的解决方案。

它就是——Logto

01 |核心逻辑:把“身份认证”从负担变成能力

Logto 的核心理念非常直接:身份认证和授权,不应该成为 SaaS 和 AI 应用开发的瓶颈。

传统的做法是什么?自己写一套用户系统,或者拼凑各种第三方服务。Auth0 功能强大但闭源且昂贵,Supabase 提供认证但只是其功能的一小部分,Okta 面向企业但个人开发者根本用不起。

Logto 走了一条不一样的路:开源、自托管、开发者优先,同时提供与 Auth0 同等能力的企业级功能

它基于 OIDC 和 OAuth 2.1 标准构建,同时支持 SAML 协议。这意味着什么?你的应用可以像一个“身份中台”一样工作——既能作为认证提供方(让外部应用“用 Logto 登录”),也能作为认证消费方(对接 Google、Azure AD 等第三方 IdP)。

但 Logto 做的最重要的一件事是:把“身份认证”从一项需要专门团队维护的基础设施,变成了一组可以直接使用的 API 和 SDK

你不需要懂 OIDC 的授权码流程,不需要自己实现刷新令牌机制,不需要手写 RBAC 的权限校验逻辑。Logto 帮你把这一切封装好了。

一句话:别人的应用在“做认证”,你的应用在“用认证”。

02 |硬核功能盘点

🔗 GitHub 地址:https://github.com/logto-io/logto

1. 多租户与组织级 RBAC:B2B SaaS 的刚需,开箱即用

这是 Logto 最核心、最能拉开差距的能力。

很多认证工具只解决了“用户登录”的问题,但 SaaS 产品真正的复杂度在于多租户隔离细粒度权限控制。同一个用户可能属于多个组织,在不同组织里有不同的角色和权限。

Logto 原生支持组织级别的 RBAC(基于角色的访问控制) ,称为“组织模板”。你可以灵活创建自己的角色,不只是“管理员”和“成员”这种二元的划分。一个用户在企业 A 里可能是“超级管理员”,在企业 B 里只是“普通成员”,同一套代码,两种权限模型,Logto 自动处理。

更关键的是,这些权限设计可以跨所有组织统一更新。改了角色定义,所有使用该模板的组织自动生效——不需要逐个租户去调整。

现实摩擦提醒:多租户 RBAC 的设计非常灵活,但也意味着在上线前需要花时间设计好角色和权限模型。一旦设计不合理,后续迁移成本较高。建议先在测试环境充分验证权限矩阵再上生产。

2. 预构建登录界面 + 30+ SDK:不用设计,不用写前端

这是 Logto 对开发者最友好的地方。你不需要自己设计登录页面、注册页面、密码重置页面、邮箱验证页面——Logto 提供了开箱即用的、可定制的登录界面

同时,Logto 提供了覆盖30 多种框架的 SDK:React、Next.js、Angular、Vue、Flutter、Go、Python……。你不需要自己写 OIDC 客户端代码,直接用官方 SDK,几行代码就能完成集成。

支持邮箱/短信无密码登录、社交登录(Google、Apple、Discord 等)、传统密码认证等多种方式。还支持多因素认证(MFA) 和企业 SSO

3. 协议全支持:OIDC、OAuth 2.1、SAML,一个不落

Logto 是一个完整的身份提供方(IdP) 。它基于 OIDC 协议构建,同时完整支持 OAuth 2.1 和 SAML。

这意味着你的 Logto 实例可以像一个“私有版的 Google 登录”一样工作——外部应用可以通过 OAuth/OIDC 协议,让用户“使用 Logto 登录”。对于企业内部系统,SAML 支持让 Logto 可以无缝对接企业级 SSO 方案。

你不是在用一个“登录组件”,你是在运行一个“身份中台”。

4. AI Agent 与 MCP 原生支持:为 AI 时代而生

这是 Logto 在 2026 年最值得关注的能力升级。

随着 AI Agent 和 MCP(Model Context Protocol)的普及,“怎么让 AI Agent 安全地访问用户数据”成了一个新问题。传统的 API Key 模式对 AI Agent 来说既不安全也不灵活。

Logto 在 2026 年 2 月正式推出了Logto MCP Server。这是一个托管的 MCP 服务器,让你的 AI 工具可以用一句 Prompt 就完成 Logto 的配置和集成——无需本地安装,无需复制 API Key,AI Agent 可以自动检查你的项目、创建 Logto 应用、应用正确的设置、生成可直接运行的集成代码。

对于已经部署了 MCP 服务器的团队,Logto 提供了mcp-auth集成方案,通过标准 OIDC 流程对用户进行认证并安全获取身份信息。当 AI Agent 需要用户认证时,它会在对话中提示用户跳转到 Logto 安全登录,支持无密码登录、社交账户及企业 SSO,登录后自动返回聊天界面。

AI Agent 的认证问题,Logto 用一套标准协议把它解决了。

5. 开源 + 自托管 + 云服务:自由选择,不被锁定

Logto 走的是“开源核心 + 云服务”的路线。代码完全开源,你可以自己部署在自己的服务器上,数据完全由你掌控。同时 Logto Cloud 提供了完全托管的云服务版本,即时部署、自动更新,并已通过 SOC2 Type II 合规认证。

Logto Cloud 与 Logto OSS 运行在同一代码库上——这意味着你在开源版本里测试通过的功能,在云服务上表现完全一致,迁移路径极其平滑。

你可以在开发阶段用开源版本自托管,生产环境无缝切换到云服务,也可以一直自托管——选择权在你手里。

6. 审计日志 + 企业级合规

对于需要满足合规要求的 B2B SaaS,Logto 提供了完整的审计日志功能。每一次登录、每一次权限变更、每一次令牌颁发和撤销,全部可追溯。

Logto 已通过 SOC 2 Type II 认证,并完善了 GDPR 相关工作。对于医疗和金融行业,Logto Cloud 还支持 HIPAA 和 BAA 合规要求。

03 |横向对比

在认证和授权基础设施这个赛道里,Logto、Auth0 和 Supabase Auth 是三个最常被放在一起比较的选项:

维度
LogtoAuth0Supabase Auth
开源
✅ MPL-2.0,完全开源
❌ 闭源
✅ 开源
自托管
✅ 支持
❌ 不支持
✅ 支持
多租户 RBAC
✅ 组织级原生支持
✅ 需额外配置
❌ 基础支持
OIDC/OAuth 2.1
✅ 完整实现
✅ 完整实现
⚠️ 基础支持
SAML
✅ 支持
✅ 支持
预构建登录 UI
✅ 开箱即用
✅ 需配置
❌ 需自己构建
AI/MCP 支持
✅ 原生 MCP Server
定价
开源免费 / 云服务按量
按 MAU 计费,较贵
按量计费
适用场景
SaaS + AI 应用,开发者优先
企业级身份管理
Supabase 生态内

简单说:Auth0 功能强大但闭源且昂贵,Supabase Auth 深度绑定其生态,Logto 在开源、自托管、功能完整性和 AI 原生支持之间找到了最均衡的落点

如果你在做 SaaS 或 AI 应用,需要一套完整的认证授权方案,同时希望代码完全可控、不被任何厂商锁定——Logto 是目前开源方案里最成熟的选择。

04 |典型场景和避坑

适合谁用?

  • 正在构建 SaaS 产品、需要多租户和 RBAC 的创业团队:Logto 把多租户身份管理从“自己设计”变成“开箱即用”
  • 需要企业 SSO 和 SAML 集成的 B2B SaaS:企业客户要求用 Okta 或 Azure AD 登录?Logto 原生支持
  • 正在构建 AI Agent 或 MCP 服务器、需要安全认证机制的开发者:Logto MCP Server 让你用一句 Prompt 完成配置
  • 不想被 Auth0 等闭源方案锁定的技术团队:完全开源、完全自托管,数据主权在你手里
  • 需要在多个应用间共享同一套用户体系的平台型产品:Logto 可以作为统一的身份中台

不推荐给谁?

  • 只需要极简邮箱密码登录的个人项目:用 Logto 属于杀鸡用牛刀,直接用现成的认证库可能更轻量
  • 完全不想维护任何基础设施的非技术团队:虽然 Logto 有云服务版本,但核心价值在自托管的灵活性,纯 SaaS 场景用 Auth0 可能更省心
  • 已经深度绑定 Firebase 或 Supabase 生态的项目:迁移成本可能高于收益

05 |快速上手指南(5 分钟)

Logto 提供了多种部署方式,从“零配置云服务”到“完全自托管”全覆盖。

方式一:Docker Compose(最推荐自托管)

# 拉取docker-compose.yml并启动
curl -fsSL https://raw.githubusercontent.com/logto-io/logto/HEAD/docker-compose.yml | \
  docker compose -p logto -f - up

等待容器启动后,访问http://localhost:3001即可进入 Logto 管理控制台。

方式二:Node.js + PostgreSQL(适合已有 PostgreSQL 环境的团队)

npm init @logto

根据指引完成配置。

方式三:Logto Cloud(零运维,最推荐新手)

直接访问https://cloud.logto.io[1]注册账号,免费计划支持高达 5 万 MAU,即时部署、自动更新。

验证安装成功:访问 Logto 管理控制台,创建一个新的应用(选择你使用的框架),按照指引完成 SDK 集成。如果能正常跳转到登录页面并完成登录,说明安装成功。

06 |总结

Logto 解决的核心问题是什么?

每一个 SaaS 产品都需要一套认证和授权系统,但每一个团队都在重复发明同一个轮子。

邮箱密码登录、社交登录、企业 SSO、多租户隔离、RBAC 权限控制、MFA、审计日志、OIDC/OAuth 2.1/SAML 协议支持——这些事情单个看都不复杂,但合在一起,就是一个需要专门团队维护数月的基础设施。

Logto 把这一切打包成一个开箱即用的解决方案。你不需要懂 OIDC 的授权码流程,不需要自己实现刷新令牌机制,不需要手写 RBAC 的权限校验逻辑。你只需要在管理控制台里点几下,在代码里加几行 SDK 调用,一套完整的认证授权系统就上线了。

GitHub 12.2K Star、SOC 2 Type II 认证、30+ SDK、完整的 OIDC/OAuth 2.1/SAML 支持、原生 MCP Server——这些数字和认证背后,是大量 SaaS 和 AI 团队正在用 Logto 把“身份认证”从负担变成能力。

你的下一个 SaaS 产品,不应该再把两周时间花在写登录注册上。

安装包和完整代码都在 GitHub 上:https://github.com/logto-io/logto

不想自己部署?直接使用云服务版本:https://cloud.logto.io


📌 往期推荐

如果觉得有用,可以点个 关注 和 推荐,也欢迎 转发

参考资料

[1] 

https://cloud.logto.io: https://cloud.logto.io