---
title: 在 LobeChat 中配置 Logto 身份验证服务
description: 学习如何在 LobeChat 中配置 Logto 身份验证服务，包括部署、创建、设置权限和环境变量。
tags:
  - Logto 身份验证
  - 环境变量配置
  - 单点登录
  - LobeChat
---

# 配置 Logto 身份验证服务

[Logto](https://github.com/logto-io/logto) 是一个开源的身份验证服务，界面简洁美观、功能配置丰富且易于上手，你即可以选择使用其官方提供的 Logto Cloud，也可以选择私有部署 Logto。

<Callout type={'tip'}>
  若你想要私有部署 Logto，我们建议你将之与 LobeChat 数据库版本一同使用 Docker Compose 部署，此时
  LobeChat 可以与之共用同一个 Postgres 实例。
</Callout>

## Logto 配置流程

下文假设你的 LobeChat 数据库版本域名为 `https://lobe.example.com`。

若你是私有部署的 Logto，假设其 endpoint 域名为 `https://lobe-auth-api.example.com`。

若你是使用的 Logto Cloud，假设其 endpoint 域名为 `https://example.logto.app`。

<Steps>
  ### 创建 Logto 应用

  访问你私有部署的 Logto WebUI 或者 [Logto Cloud](http://cloud.logto.io/) 进入控制台，在 `Applications` 里创建一个 `Next.js (App Router)` 应用，名称随意

  ### 配置 Logto

  配置 `Redirect URI` 为 `https://lobe.example.com/api/auth/callback/logto`，`Post sign-out redirect URI` 为 `https://lobe.example.com/`

  配置 `CORS allowed origins` 为 `https://lobe.example.com`

  <Image alt="配置 Logto" inStep src="https://github.com/user-attachments/assets/5b816379-c07b-40ea-bde4-df16e2e4e523" />

  创建成功后， 将 `Client ID` 和 `Client Secret` 保存下来。

  ### 配置 Webhook （可选）

  配置 Logto 的 Webhook，以便在用户信息更新时 LobeChat 可以接收到通知。

  前往 `Webhooks` ，创建一个 Webhook，填写以下字段：

  - 端点 URL： `https://lobe.example.com/api/webhooks/logto`
  - 事件： `User.Data.Updated`

  创建成功后，复制 Webhook 的 `签名密钥`。填写到环境变量中的 `LOGTO_WEBHOOK_SIGNING_KEY`。

  ### 配置环境变量

  <Image alt="配置环境变量" inStep src="https://github.com/user-attachments/assets/15af6d94-af4f-4aa9-bbab-7a46e9f9e837" />

  将获取到的 `Client ID` 和 `Client Secret`，设为 LobeChat 环境变量中的 `AUTH_LOGTO_ID` 和 `AUTH_LOGTO_SECRET`。

  配置 LobeChat 环境变量中 `AUTH_LOGTO_ISSUER` 为：

  - `https://lobe-auth-api.example.com/oidc`，若你是私有部署的 Logto
  - `https://example.logto.app/oidc`，若你是使用的 Logto Cloud

  在部署 LobeChat 时，你需要配置以下环境变量：

  | 环境变量                        | 类型 | 描述                                                                                               |
  | --------------------------- | -- | ------------------------------------------------------------------------------------------------ |
  | `NEXT_AUTH_SECRET`          | 必选 | 用于加密 Auth.js 会话令牌的密钥。您可以使用以下命令生成秘钥： `openssl rand -base64 32`                                    |
  | `NEXT_AUTH_SSO_PROVIDERS`   | 必选 | 选择 LoboChat 的单点登录提供商。使用 Logto 请填写 `logto`。                                                       |
  | `AUTH_LOGTO_ID`             | 必选 | Logto App 详情页的 Client ID                                                                         |
  | `AUTH_LOGTO_SECRET`         | 必选 | Logto App 详情页的 Client Secret                                                                     |
  | `AUTH_LOGTO_ISSUER`         | 必选 | Logto 提供程序的 OpenID Connect 颁发者                                                                   |
  | `NEXTAUTH_URL`              | 必选 | 该 URL 用于指定 Auth.js 在执行 OAuth 验证时的回调地址，当默认生成的重定向地址发生不正确时才需要设置。`https://lobe.example.com/api/auth` |
  | `LOGTO_WEBHOOK_SIGNING_KEY` | 可选 | 用于验证 Logto 发送的 Webhook 请求是否合法的密钥。                                                                |

  <Callout type={'tip'}>
    前往 [📘 环境变量](/zh/docs/self-hosting/environment-variables/auth#logto) 可查阅相关变量详情。
  </Callout>
</Steps>

### 故障排除

若你在部署 Logto 过程中遇到问题，可以参考以下常见问题：

- `Only roles with the xxx attribute may create roles`：
  请检查你的数据库用户权限，确保你的 Logto 数据库中的用户具有 `admin` 角色，以便创建角色。

- 在第三方数据库例如 `Neon` 上执行`logto db seed`出错:
  尝试使用`logto db seed --encrypt-base-role`命令。

- 数据库播种失败：
  请尝试使用`--skip-seed`参数跳过播种。

- `Error: role xxx already exists`：
  在数据库中删除已存在的角色即可。

- 版本升级后，数据库迁移失败：
  请尝试使用` npx @logto/cli db alteration deploy $version`命令 (例如`npx @logto/cli db alteration deploy 1.22.0`)

- 我使用 docker 部署 希望一键升级：
  在容器中执行自定义命令：`sh -c "npm run cli db seed -- --swe --encrypt-base-role" && npx @logto/cli db alteration deploy $version && npm start`

<Callout type={'info'}>部署成功后，用户将可以通过 Logto 身份认证并使用 LobeChat。</Callout>