去中心化登录方案
LastLogin 是一个登录提供方,目标是在保留类似 Google、Facebook、Apple 等“社交登录”便利性的同时,改善隐私与身份选择权。它以邮箱作为当前主要身份标识,用户可添加多个邮箱身份,并在登录不同应用或网站时选择使用哪一个。产品基于开源软件构建,使命是推动 Web 走向去中心化身份与登录。
从网络安全视角看,LastLogin 更接近身份与访问管理组件,而非防火墙、EDR 或 WAF。其核心协议是标准 OpenID Connect,开发者通过 discovery document 配置即可接入,client_id 使用应用域名,client_secret 留空,并要求 redirect_uri 与 client_id 同域前缀匹配。该设计降低了自托管软件逐一注册 OIDC 客户端的摩擦。安全上,正文强调使用 PKCE、只向用户突出显示域名,而不展示未经严格审核的 logo 与应用名,以减少钓鱼中滥用品牌标识的风险。它还称多数状态存储在客户端 JWT Cookie 中,以减少服务端状态并改善隐私。
LastLogin 可作为 lastlogin.net 托管服务使用,正文也说明底层软件可自托管。其运行在 Fly.io,意在让服务器更接近用户。集成方面优势明显:标准 OIDC、无需预注册客户端,适合论坛、社区、小型 Web 应用和自托管软件。管理能力主要体现在用户侧邮箱身份管理;正文没有披露企业级管理后台、审计日志、权限策略、异常登录告警或 SIEM 集成能力。
项目主要依靠捐赠资助,正文未给出具体套餐、支付方式、SLA 或企业合同信息。合规认证方面也未披露 SOC 2、ISO 27001、GDPR 细则等内容。因此若用于企业关键认证入口,需要额外评估其运营稳定性、责任边界和合规要求。
优点是开源、隐私导向、接入简单、对自托管软件友好,并对 OAuth/OIDC 常见钓鱼风险有明确设计取舍。缺点是商业支持、合规、审计告警与长期保障信息不足,且当前主要围绕邮箱身份,Matrix、ActivityPub 等仅为未来方向。它更适合独立开发者、开源社区、自托管用户和重视隐私的小型 Web 服务;大型企业应谨慎试点。
正文未提供中国大陆网络可访问性、支付方式或本地服务信息,故判断为未知。若访问 lastlogin.net 或其依赖服务不稳定,可评估 Keycloak、Authentik、Auth0、Okta、Firebase Authentication 等替代方案,其中自托管方案在可控性上更适合合规要求较高的场景。
本测评基于公开资料整理,不构成购买建议,请以 lastlogin.net 官网实际信息为准。
偏实验性身份登录项目,适合技术研究。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。