应用程序术语
应用程序编辑页面分为八个标签页。 下方字段按标签页分组。
Basic
- 名称 — Internal 应用程序名称。
- 显示名称 — 名称显示给用户。
- 类别 —
默认(Web 应用程序)或代理(M2M,例如 MCP 服务器、API 客户端)。 - 类型 — 对于 Default:
All,OIDC,OAuth,SAML,CAS。 对于 Agent:MCP、A2A。 - 已共享— 应用程序是否在组织间共享(仅限全局管理员)。
- 徽标— 登录/注册页面上的品牌标识图像(URL + 预览)。
- 标题 — 页面标题显示开启符号-在/注册页面。
- 网站图标— 浏览器选项卡图标(URL + 预览图)。
- Home — 应用程序 homepage URL。
- 描述 — Short 描述的该应用程序。
- 组织 — Owning 组织。
- 标签 — 仅用户使用 one 的 these 标签可登录。 查看应用标签。
- 命令 — 排序命令在列表。
- 菜单模式— 编辑页面导航的布局:
水平或垂直。
身份验证
- Cookie 过期— 会话 Cookie 的有效期,单位为小时(默认:720)。 不含 "Remember me", 该会话是 capped 在 24 h regardless。
- 默认 组— 自动分配给通过此应用程序注册的新用户的组,包括直接注册和基于OAuth的注册。 提供商和邀请可覆盖此每注册设置:生效的组遵循优先级邀请 SignupGroup>提供商 SignupGroup>应用默认组。
- Default tag — Tag automatically assigned to new users who sign up through this application.
- 启用注册 — 允许 self 注册。 当关闭, 仅 admins 可创建 accounts。
- 禁用登录 — 禁用 all 符号-在用于此应用程序。
- 启用 guest 登录 — 允许 unauthenticated guest access 按呈现
代码=guest-用户以该令牌端点。 需要 启用注册 以被开启作为 well。 不适用于内置组织。 请参阅访客身份验证。 - 启用 exclusive 登录 — Enforce one 激活会话 per 用户。
- 登录会话 — 启用 persistent 符号-在会话跨 browser restarts。
- Auto 登录 — Automatically 符号该用户返回在开启 revisit。 需要 登录会话 以被已启用第一。
- 启用电子邮件 linking — 允许 linking OAuth accounts 以 existing accounts 按 matching 电子邮件。
- 注册 URL — External 注册 URL, replaces Casdoor's 内置注册页面。
- 登录 URL — External 符号-在 URL, replaces Casdoor's 内置符号-在页面。
- Forget URL — 自定义密码 recovery URL。
- 关联网址— 关联或邀请网址。
OIDC/OAuth
- 客户端 ID — OAuth 2.0 客户端 identifier。
- 客户端密钥 — OAuth 2.0 客户端密钥。
- Redirect URLs — 已允许 post-登录 redirect URIs。 匹配基于 URL:方案、端口和路径必须完全匹配,主机可以是配置的主机,也可以是该主机的任何子域名(例如,配置
https://example.com/callback也允许https://api.example.com/callback)。 无效的 URL 条目将作为锚定正则表达式进行匹配。 - 强制重定向来源— 设置后,Casdoor会强制所有重定向至该来源。
- Grant types — Enabled OAuth grant types: Authorization Code, Password, Client Credentials, Token, ID Token, Refresh Token, Device Code, Token Exchange, JWT Bearer.
- 作用域— 适用于代理类别应用的自定义作用域(名称、显示名称、描述);在OIDC发现中公开。
- 令牌格式 —
JWT,JWT-Empty,JWT-自定义或JWT-标准。 请参阅令牌概览。 - 令牌签名方法— 签名算法:RS256、RS512、ES256、ES384 或 ES512。
- 令牌字段— 包含在令牌有效载荷中的其他用户字段(当格式为
JWT-自定义)。 - 令牌属性— 添加到令牌的自定义声明(当格式为
JWT-自定义)。 每行包含类别, 值和类型:- 类别:静态值—“值”字段为模板字符串(支持
${user.xxx}替换)。 类型控制声明是String还是Array。 - 类别:现有字段— 值字段是已知用户字段的下拉列表(
所有者,姓名,ID,显示名称,电子邮件,电话,标签,角色,权限,组等)。 Casdoor 在颁发令牌时直接从用户对象中读取该字段。 属性子字段引用方式为属性.<key>。
- 类别:静态值—“值”字段为模板字符串(支持
- 令牌过期— 访问令牌的生命周期,单位为小时。
- 刷新令牌过期— 刷新令牌的有效时长,单位为小时。
SAML
- SAML回复URL— Casdoor发布SAML响应的断言消费者服务(ACS)URL。
- Enable SAML compression — Compress SAML requests and responses.
- 启用SAML C14N10— 签名SAML文档时使用C14N 1.0规范化。
- SAML C14N prefix — Namespace prefix list used for the C14N 1.0 canonicalization (applies when Enable SAML C14N10 is on; default
xs). - 将电子邮件用作 NameID— 将用户的电子邮件地址用作 SAML
NameID,而非用户名。 - 启用 SAML POST 绑定— 改用 HTTP POST 绑定,而非重定向绑定。
- SAML哈希算法— 签名哈希算法:SHA1、SHA256或SHA512。
- 禁用 SAML 属性— 仅发送
NameID在断言中,省略所有其他用户属性。 - 启用 SAML 断言签名— 除了响应信封之外,还对断言元素进行签名。
- SAML 属性— 包含在 SAML 断言中的自定义属性声明(当“禁用 SAML 属性”处于关闭状态时可用)。
- SAML元数据— 此应用程序的只读XML元数据;包含一个用于复制元数据URL的按钮。
提供商
- 提供商— 适用于此应用的 OAuth、电子邮件、短信、存储及其他提供商。 控制可用的登录方式和集成。
提供商表中的每个 OAuth / Web3 / SAML 提供商条目都具有额外的特定于提供商的设置:
| 列 | 描述 |
|---|---|
| 可注册 | 允许新用户通过此提供商注册。 |
| 可登录 | 可取消关联 |
| 可取消关联 | 允许用户从其账户中取消链接此提供商。 |
| 绑定规则 | 用于将OAuth身份与现有Casdoor用户匹配的字段。 可用字段:电子邮件, 电话, 姓名。 已检查订单——首个匹配项会关联账户。 默认为电子邮件,电话, 姓名。 仅适用于OAuth、Web3和SAML提供商。 |
| 国家代码 | 将基于电话的提供商限制在特定国家/地区呼叫代码范围内。 |
| 已提示 | 如果用户尚未绑定此提供商,注册后显示提示,要求用户进行绑定。 |
| 注册组 | 覆盖通过此提供商注册的用户的应用程序默认组。 |
UI Customization
- 组织选择模式— 用户在登录时如何选择其组织:
无,选择(下拉菜单),或输入(文本字段)。 - 登录方式— 登录页面上显示的登录方式有序列表(例如:密码、验证码、WebAuthn)。
- 注册HTML— 注入到注册页面的自定义HTML。
- 登录HTML— 注入到登录页面的自定义HTML。
- Page HTML — Custom HTML injected into the page
<head>(e.g. meta tags, analytics snippets, or custom styles/scripts) for all of the application's pages. - 登录项— 配置登录表单上显示哪些字段和控件。
- 注册项— 配置注册表单字段(仅在启用“注册”时可见)。
- 背景 URL— 桌面登录页面背景图片(URL + 预览)。
- 移动端背景URL— 移动端登录页面背景图片(URL + 预览)。
- 自定义CSS— 应用于登录表单的CSS(桌面版)。
- 自定义CSS 移动版— 应用于登录表单的CSS(移动版)。
- 表单位置— 登录表单的水平对齐方式:左对齐、居中对齐、右对齐或启用侧边栏。
- 侧边面板 HTML— 显示在登录表单旁边面板中的 HTML(当表单位置设置为启用侧边面板)。
- 主题— 使用组织主题,或为此应用程序定义自定义颜色/边框半径。
- 页眉HTML— 在登录/注册表单上方显示的 自定义HTML。
- 页脚HTML— 在登录/注册表单下方显示的自定义HTML。
安全
- 令牌证书— 用于签署此应用程序颁发的令牌的证书。
- 客户端证书— 用于验证客户端身份的证书。 对于双向TLS,它会验证客户端连接;对于JWT持有者授权(RFC 7523),此证书中的公钥用于验证客户端JWT断言的签名。
- 登录失败次数限制— 账户被锁定前连续登录失败的次数。 此限制同样适用于/api/verify-codeOTP端点:过多的错误验证码将暂时阻止使用相同计数器和冻结时间的用户+目的地组合。
- 失败登录冻结时间— 达到失败登录次数限制后的锁定时长,单位:分钟。
- 代码重发超时— 用户在请求另一张验证码前必须等待的秒数(默认:60;设为0以采用全局默认值)。
- IP 白名单— 以逗号分隔的允许的 IP 地址或 CIDR 范围列表。 覆盖组织级允许列表。 查看IP允许列表。
- 使用条款— 使用条款页面的 URL 或路径(最多 200 个字符)。 可直接上传 HTML 文件,生成的 URL 将自动填充。
反向代理
- 域— 此应用程序所服务的主域(例如
blog.example.com)。 - 其他 域名— 应路由到此应用程序的其他域名。
- 上游主机— Casdoor 代理请求所指向的后端服务地址(例如:
localhost:8080)。 - SSL模式— TLS处理:
无,HTTP,HTTPS与HTTP,或仅HTTPS。 - SSL证书— 用作反向代理时用于HTTPS的证书。