"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "wie-funktioniert-logtos-benutzerdefinierte-jwt-ansprüche", "hProperties": { "id": "wie-funktioniert-logtos-benutzerdefinierte-jwt-ansprüche" } }, "depth": 2, "value": "Wie funktioniert Logtos benutzerdefinierte JWT-Ansprüche?" }, { "data": { "id": "verstärke-deine-autorisierung-mit-benutzerdefinierten-jwt-ansprüchen-ein-praktisches-beispiel", "hProperties": { "id": "verstärke-deine-autorisierung-mit-benutzerdefinierten-jwt-ansprüchen-ein-praktisches-beispiel" } }, "depth": 2, "value": "Verstärke deine Autorisierung mit benutzerdefinierten JWT-Ansprüchen: ein praktisches Beispiel" }, { "data": { "id": "szenarioeinrichtung", "hProperties": { "id": "szenarioeinrichtung" } }, "depth": 3, "value": "Szenarioeinrichtung" }, { "data": { "id": "logto-konfigurationen", "hProperties": { "id": "logto-konfigurationen" } }, "depth": 3, "value": "Logto Konfigurationen" }, { "data": { "id": "überprüfe-ob-die-benutzerdefinierte-jwt-funktion-greift", "hProperties": { "id": "überprüfe-ob-die-benutzerdefinierte-jwt-funktion-greift" } }, "depth": 3, "value": "Überprüfe, ob die benutzerdefinierte JWT-Funktion greift" }, { "data": { "id": "aktualisiere-das-autorisierungslogik-des-dienstanbieters", "hProperties": { "id": "aktualisiere-das-autorisierungslogik-des-dienstanbieters" } }, "depth": 3, "value": "Aktualisiere das Autorisierungslogik des Dienstanbieters" }, { "data": { "id": "warum-benutzerdefinierte-jwt-ansprüche-verwenden", "hProperties": { "id": "warum-benutzerdefinierte-jwt-ansprüche-verwenden" } }, "depth": 3, "value": "Warum benutzerdefinierte JWT-Ansprüche verwenden?" }, { "data": { "id": "schlussfolgerung", "hProperties": { "id": "schlussfolgerung" } }, "depth": 2, "value": "Schlussfolgerung" }]; const readingTime = { "minutes": 8, "words": 2322, "text": "8 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", code: "code", h2: "h2", h3: "h3", li: "li", ol: "ol", p: "p", pre: "pre", span: "span", ul: "ul", ..._provideComponents(), ...props.components }, {Info, LogtoCloudButton, Note} = _components; if (!Info) _missingMdxReference("Info", true); if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); if (!Note) _missingMdxReference("Note", true); return _jsxs(_Fragment, { children: [_jsx(_components.p, { children: "In den vorherigen Artikeln haben wir bereits erwähnt, dass immer mehr Systeme JWT-formatierte Zugriffstoken zur Benutzerauthentifizierung und Zugriffssteuerung verwenden. Einer der wichtigen Gründe dafür ist, dass JWT nützliche Informationen wie Benutzerrollen und Berechtigungen enthalten kann. Diese Informationen können uns dabei helfen, Benutzerdaten zwischen Server und Client zu übertragen, um so die Benutzerauthentifizierung und Zugriffssteuerung zu erreichen." }), "\n", _jsxs(_components.p, { children: ["Normalerweise werden die im JWT enthaltenen Informationen vom Authentifizierungsserver festgelegt. Gemäß dem OAuth 2.0-Protokoll enthält JWT in der Regel Felder wie ", _jsx(_components.code, { children: "sub" }), " (Betreff), ", _jsx(_components.code, { children: "aud" }), " (Zielgruppe) und ", _jsx(_components.code, { children: "exp" }), " (Ablaufzeit), die häufig als Ansprüche bezeichnet werden. Diese Ansprüche können helfen, die Gültigkeit des Zugriffstokens zu überprüfen."] }), "\n", _jsx(_components.p, { children: "Es gibt jedoch unzählige Szenarien, in denen JWT zur Überprüfung verwendet wird, und allgemeine JWT-Ansprüche erfüllen möglicherweise nicht immer die Anforderungen der Nutzer. Oftmals stellen sich die Leute die Frage: Da JWT einige Informationen enthalten kann, können wir ihm nicht noch einige Informationen hinzufügen, um die Autorisierung zu erleichtern?" }), "\n", _jsx(_components.p, { children: "Die Antwort ist JA, wir können benutzerdefinierte Ansprüche zu JWT hinzufügen, wie z. B. den aktuellen Benutzerbereich und das Abonnementlevel. Auf diese Weise können wir Benutzerdaten zwischen dem Client und dem Server (hier bezieht sich dies auf den Server, der verschiedene verschiedene Dienste bereitstellt, auch Dienstanbieter genannt) übertragen, um die Benutzerauthentifizierung und Zugriffssteuerung zu erreichen." }), "\n", _jsxs(_components.p, { children: ["Für Standard-JWT-Ansprüche siehe ", _jsx(_components.a, { href: "https://datatracker.ietf.org/doc/html/rfc7519", children: "RFC7519" }), ". Logto, als Lösung für Identitätsverwaltung, die sowohl Authentifizierung als auch Autorisierung unterstützt, hat die Resource und Scope Claims erweitert, um das Standard ", _jsx(_components.a, { href: "https://docs.logto.io/docs/recipes/rbac/", children: "RBAC" }), " zu unterstützen. Obwohl die RBAC-Implementierung von Logto standardisiert ist, ist sie nicht einfach und flexibel genug, um allen Anwendungsfällen gerecht zu werden."] }), "\n", _jsx(_components.p, { children: "Auf dieser Grundlage hat Logto eine neue Funktion zur Anpassung von JWT-Ansprüchen eingeführt, die es den Benutzern ermöglicht, zusätzliche JWT-Ansprüche zu gestalten, sodass die Benutzerauthentifizierung und Zugriffssteuerung flexibler implementiert werden kann." }), "\n", _jsx(LogtoCloudButton, {}), "\n", _jsxs(_components.h2, { id: "wie-funktioniert-logtos-benutzerdefinierte-jwt-ansprüche", children: ["Wie funktioniert Logtos benutzerdefinierte JWT-Ansprüche?", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#wie-funktioniert-logtos-benutzerdefinierte-jwt-ansprüche", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Du kannst zur Seite für benutzerdefinierte JWT gelangen, indem du auf die Schaltfläche \"JWT-Ansprüche\" in der Seitenleiste klickst." }), "\n", _jsx("center", { children: _jsx("img", { alt: "custom-jwt-listing-page", src: "https://uploads.strapi.logto.io/1/custom_jwt_listing_page_f56a88c98f.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Fangen wir an, benutzerdefinierte Ansprüche für Endbenutzer hinzuzufügen." }), "\n", _jsxs(_components.p, { children: ["Im Editor auf der linken Seite kannst du deine ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " Funktion anpassen. Diese Methode verfügt über drei Eingabeparameter: ", _jsx(_components.code, { children: "token" }), ", ", _jsx(_components.code, { children: "data" }), " und ", _jsx(_components.code, { children: "envVariables" }), "."] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "token" }), " ist die rohe Payload des Zugriffstokens, die basierend auf den Anmeldeinformationen des aktuellen Endbenutzers und deiner Systemkonfiguration sowie den benutzerbezogenen Informationen in Logto erhalten wurde."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "data" }), " enthält alle Informationen über den Benutzer in Logto, einschließlich aller Rollen des Benutzers, Social Sign-in-Identitäten, SSO-Identitäten, Organisationsmitgliedschaften usw."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "envVariables" }), " sind die Umgebungsvariablen, die du in Logto für das aktuelle Nutzungsszenario von Zugriffstoken für Endbenutzer konfiguriert hast, wie z. B. API-Schlüssel der erforderlichen externen APIs usw."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "details-page-user-data", src: "https://uploads.strapi.logto.io/1/details_page_user_data_a92388f24a.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Die Karten auf der rechten Seite können erweitert werden, um die Einführung der entsprechenden Parameter anzuzeigen. Du kannst die Umgebungsvariablen für das aktuelle Szenario ebenfalls hier festlegen." }), "\n", _jsx("center", { children: _jsx("img", { alt: "details-page-user-test", src: "https://uploads.strapi.logto.io/1/details_page_user_test_93932f6e66.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Nachdem du die Einführungen aller Karten auf der rechten Seite gelesen hast, kannst du in den Testmodus wechseln, wo du Testdaten bearbeiten und die bearbeiteten Testdaten verwenden kannst, um zu überprüfen, ob das Verhalten des Scripts, das du im Code-Editor auf der linken Seite geschrieben hast, deinen Erwartungen entspricht." }), "\n", _jsxs(_components.p, { children: ["Dies ist ein Sequenzdiagramm, das den Ausführungsprozess der Funktion ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " zeigt, wenn ein Endbenutzer eine Authentifizierungsanforderung an Logto sendet und schließlich das von Logto zurückgegebene JWT-formatierte Zugriffstoken erhält."] }), "\n", _jsxs(_components.p, { children: ["Wenn die benutzerdefinierte JWT-Funktion nicht aktiviert ist, wird Schritt 3 in der Abbildung übersprungen und Schritt 4 wird unmittelbar nach Ende von Schritt 2 ausgeführt. Zu diesem Zeitpunkt wird Logto davon ausgehen, dass der Rückgabewert von ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " ein leeres Objekt ist und dann mit den nachfolgenden Schritten fortfahren."] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n participant U as Benutzer oder Benutzer-Agent\n participant IdP as Logto (Identitätsanbieter)\n participant SP as Dienstanbieter\n\n autonumber\n U ->> IdP: Authentifizierungsanfrage (mit Anmeldeinformationen)\n activate IdP\n IdP-->>IdP: Anmeldeinformationen validieren &
rohe Zugriffstoken-Payload generieren\n rect rgb(191, 223, 255)\n note over IdP: Benutzerdefinierte JWT\n IdP->>IdP: Ausführen des benutzerdefinierten JWT-Claims-Scripts (`getCustomJwtClaims`) &
zusätzliche JWT-Ansprüche abrufen\n end\n IdP-->>IdP: Rohe Zugriffstoken-Payload und zusätzliche JWT-Ansprüche zusammenführen\n IdP-->>IdP: Payload signieren & verschlüsseln, um JWT-Zugriffstoken zu erhalten\n deactivate IdP\n IdP-->>U: JWT-formatiertes Zugriffstoken ausstellen\n par Dienst über API erhalten\n U->>SP: Dienstanforderung (mit JWT-Zugriffstoken)\n SP-->>U: Dienstantwort\n end\n" }) }), "\n", _jsx(Note, { children: _jsxs(_components.p, { children: ["Aus Sicherheitsgründen, wenn die von Logtos ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " Funktion zurückgegebenen JWT-Ansprüche bereits\nin der Payload des Zugriffstokens vorhanden sind, werden diese Ansprüche NICHT wirksam und sie können die bestehenden Ansprüche NICHT überschreiben."] }) }), "\n", _jsxs(_components.h2, { id: "verstärke-deine-autorisierung-mit-benutzerdefinierten-jwt-ansprüchen-ein-praktisches-beispiel", children: ["Verstärke deine Autorisierung mit benutzerdefinierten JWT-Ansprüchen: ein praktisches Beispiel", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#verstärke-deine-autorisierung-mit-benutzerdefinierten-jwt-ansprüchen-ein-praktisches-beispiel", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Im vorherigen Abschnitt haben wir das Funktionsprinzip der benutzerdefinierten JWT von Logto vorgestellt. In diesem Teil zeigen wir dir, wie du mit benutzerdefinierten JWT-Ansprüchen von Logto die Flexibilität der Autorisierung und die Leistung des Dienstanbieters verbessern kannst, indem wir ein praktisches Beispiel verwenden." }), "\n", _jsxs(_components.h3, { id: "szenarioeinrichtung", children: ["Szenarioeinrichtung", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#szenarioeinrichtung", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Johns Team hat eine AI-Assistenz-App entwickelt, die es Benutzern ermöglicht, mit AI-Robotern zu kommunizieren, um verschiedene Dienste zu erhalten." }), "\n", _jsx(_components.p, { children: "Die AI-Roboter-Dienste sind in kostenlose und kostenpflichtige Dienste unterteilt. Zu den kostenlosen Diensten zählen spezielle Flugempfehlungen, während kostenpflichtige Dienste Aktienprognosen umfassen." }), "\n", _jsx(_components.p, { children: "Die AI-Assistenz-App verwendet Logto zur Verwaltung aller Benutzer, die in drei Typen unterteilt sind: kostenlose Benutzer, Prepaid-Benutzer und Premium-Benutzer. Kostenlose Benutzer können nur kostenlose Dienste nutzen, Prepaid-Benutzer können alle Dienste nutzen (kostenpflichtig je nach Nutzung) und Premium-Benutzer können alle Dienste nutzen (haben jedoch Nutzungsbeschränkungen, um Missbrauch zu verhindern)." }), "\n", _jsx(_components.p, { children: "Darüber hinaus verwendet die AI-Assistenz-App Stripe zur Verwaltung von Benutzerzahlungen und hat einen eigenen Protokolldienst, um Benutzeroperationsprotokolle aufzuzeichnen." }), "\n", _jsxs(_components.h3, { id: "logto-konfigurationen", children: ["Logto Konfigurationen", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#logto-konfigurationen", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["Zuerst erstellen wir API-Ressourcen für den AI-Assistenz-App-Dienst und erstellen zwei Scopes, ", _jsx(_components.code, { children: "recommend:flight" }), " und ", _jsx(_components.code, { children: "predict:stock" }), "."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "ai-assistant-app-resource", src: "https://uploads.strapi.logto.io/1/ai_assistant_app_resource_e3c2ee0f03.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Dann erstellen wir zwei ", _jsx(_components.code, { children: "Rollen" }), ", ", _jsx(_components.code, { children: "free-user" }), " und ", _jsx(_components.code, { children: "paid-user" }), ", und ordnen die entsprechenden Scopes zu:"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: ["Ordne die ", _jsx(_components.code, { children: "recommend:flight" }), "-Scope der ", _jsx(_components.code, { children: "free-user" }), "-Rolle zu."] }), "\n", _jsxs(_components.li, { children: ["Ordne sowohl die ", _jsx(_components.code, { children: "recommend:flight" }), "- als auch die ", _jsx(_components.code, { children: "predict:stock" }), "-Scopes der ", _jsx(_components.code, { children: "paid-user" }), "-Rolle zu."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "free-user-role", src: "https://uploads.strapi.logto.io/1/free_user_role_153a0277ba.webp", width: "800" }) }), "\n", _jsx("center", { children: _jsx("img", { alt: "paid-user-role", src: "https://uploads.strapi.logto.io/1/paid_user_role_d2fa9f5db6.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Schließlich erstellen wir drei Benutzer, ", _jsx(_components.code, { children: "free-user" }), ", ", _jsx(_components.code, { children: "prepaid-user" }), " und ", _jsx(_components.code, { children: "premium-user" }), ", und ordnen die entsprechenden Rollen zu:"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: ["Ordne die ", _jsx(_components.code, { children: "free-user" }), "-Rolle dem Benutzer ", _jsx(_components.code, { children: "free-user" }), " zu."] }), "\n", _jsxs(_components.li, { children: ["Ordne die ", _jsx(_components.code, { children: "paid-user" }), "-Rolle den Benutzern ", _jsx(_components.code, { children: "prepaid-user" }), " und ", _jsx(_components.code, { children: "premium-user" }), " zu."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "assign-free-user-role", src: "https://uploads.strapi.logto.io/1/assign_free_user_role_f7d37cb5c9.webp", width: "800" }) }), "\n", _jsx("center", { children: _jsx("img", { alt: "assign-paid-user-role", src: "https://uploads.strapi.logto.io/1/assign_paid_user_role_2dbfd74d6e.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Wie in der folgenden Abbildung dargestellt, hoffen wir, um die zur Umsetzung der oben beschriebenen Szenario erforderlichen Autorisierungsinformationen zu erhalten, die ", _jsx(_components.code, { children: "roles" }), ", ", _jsx(_components.code, { children: "balance" }), " und ", _jsx(_components.code, { children: "numOfCallsToday" }), " Informationen des aktuell angemeldeten Benutzers im JWT zu erfassen. Bei der Überprüfung des Zugriffstokens in der AI-Assistenz-App können diese Informationen verwendet werden, um die Berechtigungsverifizierung schnell durchzuführen."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "test-custom-jwt-claims", src: "https://uploads.strapi.logto.io/1/test_custom_jwt_claims_3fcd4c2004.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Nach der Konfiguration der ", _jsx(_components.code, { children: "envVariables" }), " implementieren wir die ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " Funktion und klicken auf die Schaltfläche \"Test ausführen\", um das Ergebnis der zusätzlichen JWT-Ansprüche basierend auf den aktuellen Testdaten zu sehen."] }), "\n", _jsxs(_components.p, { children: ["Da wir keine Testdaten für ", _jsx(_components.code, { children: "data.user.roles" }), " konfiguriert haben, ist ", _jsx(_components.code, { children: "roles" }), " im Ergebnis ein leeres Array."] }), "\n", _jsxs(_components.h3, { id: "überprüfe-ob-die-benutzerdefinierte-jwt-funktion-greift", children: ["Überprüfe, ob die benutzerdefinierte JWT-Funktion greift", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#überprüfe-ob-die-benutzerdefinierte-jwt-funktion-greift", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["Gemäß der oben genannten Logto-Konfiguration erhielten wir die entsprechenden Ergebnisse im Test. Als Nächstes werden wir die von Logto bereitgestellte Beispiel-App verwenden, um zu überprüfen, ob unser benutzerdefinierter JWT wirksam ist. Finde das SDK, mit dem du vertraut bist, unter ", _jsx(_components.a, { href: "https://docs.logto.io/sdk/", children: "Logto SDKs" }), " und implementiere eine Beispiel-App gemäß der Dokumentation und dem entsprechenden GitHub-Repo."] }), "\n", _jsxs(_components.p, { children: ["Basierend auf der von uns beschriebenen Konfiguration, nehmen wir als Beispiel das ", _jsx(_components.a, { href: "https://docs.logto.io/sdk/react/", children: "React SDK" }), ", müssen wir die entsprechende Konfiguration in LogtoConfig aktualisieren:"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "import { LogtoProvider, LogtoConfig, UserScope } from '@logto/react';\n\nconst config: LogtoConfig = {\n appId,\n endpoint,\n scopes: [\n UserScope.Email,\n UserScope.Phone,\n UserScope.CustomData,\n UserScope.Identities,\n UserScope.Organizations,\n \"recommend:flight\",\n \"predict:stock\",\n ],\n resources: [\"https://api.aiassistant.app/v1\"]\n};\n\nconst App = () => (\n \n \n \n);\n" }) }), "\n", _jsxs(_components.p, { children: ["Nachdem sich der Benutzer ", _jsx(_components.code, { children: "free_user" }), " bei der Beispiel-App angemeldet hat, die die AI-Assistenz-App simuliert, können wir die ", _jsx(_components.code, { children: "roles" }), ", ", _jsx(_components.code, { children: "balance" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " und ", _jsx(_components.code, { children: "isPremiumUser" }), " Informationen, die wir hinzugefügt haben, durch Ansehen des Payload-Teils des JWT-Zugriffstokens sehen."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "sample-app-access-token-preview-free", src: "https://uploads.strapi.logto.io/1/sample_app_access_token_preview_free_117a8594c8.webp", width: "400" }) }), "\n", _jsxs(_components.p, { children: ["Die Werte von ", _jsx(_components.code, { children: "balance" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " und ", _jsx(_components.code, { children: "isPremiumUser" }), " stimmen mit dem vorherigen Test überein, und ", _jsx(_components.code, { children: "roles" }), " ist gleich ", _jsx(_components.code, { children: "[\"free-user\"]" }), ". Dies liegt daran, dass im tatsächlichen Anmeldevorgang des Endbenutzers alle zugänglichen Daten des Benutzers abgefragt und entsprechend verarbeitet werden."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "sample-app-access-token-preview-premium", src: "https://uploads.strapi.logto.io/1/sample_app_access_token_preview_premium_673f6f3db1.webp", width: "400" }) }), "\n", _jsxs(_components.p, { children: ["Für Premium-Benutzer können wir sehen, dass ", _jsx(_components.code, { children: "roles" }), " ", _jsx(_components.code, { children: "[\"paid-user\"]" }), " ist und sowohl ", _jsx(_components.code, { children: "isPaidUser" }), " als auch ", _jsx(_components.code, { children: "isPremiumUser" }), " ", _jsx(_components.code, { children: "true" }), " sind."] }), "\n", _jsxs(_components.h3, { id: "aktualisiere-das-autorisierungslogik-des-dienstanbieters", children: ["Aktualisiere das Autorisierungslogik des Dienstanbieters", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#aktualisiere-das-autorisierungslogik-des-dienstanbieters", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "In den vorherigen Schritten haben wir benutzerdefinierte Ansprüche basierend auf den geschäftlichen Anforderungen dem Zugriffstoken des Benutzers hinzugefügt. Als Nächstes können wir diese Ansprüche verwenden, um die Autorisierungsverifizierung schnell durchzuführen." }), "\n", _jsxs(Note, { children: [_jsx(_components.p, { children: "Es ist wichtig zu beachten, dass wir nicht empfehlen, ausschließlich auf benutzerdefinierte Ansprüche zur Autorisierungsverifizierung zu vertrauen." }), _jsx(_components.p, { children: "Da die Umsetzung von RBAC dem Prinzip der geringsten Privilegien folgt, sollte zur Gewährleistung der Sicherheit die Verifizierung unter Verwendung benutzerdefinierter Ansprüche eine zusätzliche Hilfsverifizierung basierend auf RBAC sein. Dies soll vermeiden, dass durch die Einführung zusätzlicher benutzerdefinierter Ansprüche das Spektrum der Benutzerautorisierungsberechtigungen erweitert wird." })] }), "\n", _jsxs(_components.p, { children: ["Hier stellen wir die Logik von Logto zur Überprüfung von JWT-Zugriffstoken auf der API-Seite vor. Die vollständige Code-Implementierung findest du im ", _jsx(_components.a, { href: "https://github.com/logto-io/logto/blob/master/packages/core/src/middleware/koa-auth/index.ts", children: "GitHub-Repo" }), ":"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "import type { IncomingHttpHeaders } from 'node:http';\n\nimport { createLocalJWKSet, jwtVerify, type JWK } from 'jose';\n\nconst extractBearerTokenFromHeaders = (\n { authorization }: IncomingHttpHeaders\n) => {\n const bearerTokenIdentifier = 'Bearer';\n\n assertThat(\n authorization,\n new RequestError({\n code: 'auth.authorization_header_missing',\n status: 401\n })\n );\n assertThat(\n authorization.startsWith(bearerTokenIdentifier),\n new RequestError(\n { code: 'auth.authorization_token_type_not_supported', status: 401 },\n { supportedTypes: [bearerTokenIdentifier] }\n )\n );\n\n return authorization.slice(bearerTokenIdentifier.length + 1);\n};\n\nconst verifyBearerTokenFromRequest = async (\n publicJwks: JWT;\n issuer: string,\n request: Request,\n audience: Optional\n): Promise => {\n try {\n // Beschaffe die public JWKs und den Herausgeber.\n const [keys, issuer] = await getKeysAndIssuer();\n const { payload } = await jwtVerify(\n extractBearerTokenFromHeaders(request.headers),\n createLocalJWKSet({ keys }),\n {\n issuer,\n audience,\n }\n );\n\n const { sub, client_id: clientId, scope = '' } = payload;\n assertThat(sub,\n new RequestError({ code: 'auth.jwt_sub_missing', status: 401 }));\n\n return { sub, clientId, scopes: z.string().parse(scope).split(' ') };\n } catch (error: unknown) {\n if (error instanceof RequestError) {\n throw error;\n }\n\n throw new RequestError(\n { code: 'auth.unauthorized', status: 401 },\n error\n );\n }\n};\n" }) }), "\n", _jsxs(_components.p, { children: ["Du kannst dich an der Logik von Logto zur Überprüfung von Zugriffstoken orientieren und sie nach deinen eigenen Geschäftsanforderungen anpassen. Zum Beispiel kannst du für das hier beschriebene Szenario der AI-Assistenz-App in der Funktion ", _jsx(_components.code, { children: "verifyBearerTokenFromRequest" }), " eine Verifizierungslogik für benutzerdefinierte Ansprüche wie ", _jsx(_components.code, { children: "roles" }), ", ", _jsx(_components.code, { children: "balance" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " und ", _jsx(_components.code, { children: "isPremiumUser" }), " hinzufügen."] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "const verifyBearerTokenFromRequest = async (\n publicJwks: JWT;\n issuer: string,\n request: Request,\n audience: Optional\n): Promise => {\n try {\n // Beschaffe die public JWKs und den Herausgeber.\n const [keys, issuer] = await getKeysAndIssuer();\n const { payload } = await jwtVerify(\n extractBearerTokenFromHeaders(request.headers),\n createLocalJWKSet({ keys }),\n {\n issuer,\n audience,\n }\n );\n\n const {\n sub,\n client_id: clientId,\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser,\n scope = ''\n } = payload;\n assertThat(sub,\n new RequestError({ code: 'auth.jwt_sub_missing', status: 401 }));\n\n return {\n sub,\n clientId,\n scopes: z.string().parse(scope).split(' '),\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser\n };\n } catch (error: unknown) {\n if (error instanceof RequestError) {\n throw error;\n }\n\n throw new RequestError({ code: 'auth.unauthorized', status: 401 }, error);\n }\n};\n\nconst authorizeBearerTokenPayload = (\n payload: Payload,\n requiredScopes: string[],\n requiredRoles: string[]\n): void => {\n const {\n scope,\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser\n } = payload;\n const scopes: string[] = scope.split(' ');\n\n // RBAC-Validierung.\n /**\n * `free-user` hat nicht den `predict:stock` Scope, sodass, wenn die API den\n * `predict:stock` Scope benötigt, die Anfrage direkt abgelehnt wird.\n */\n assertThat(\n requiredScopes.every((scope) => payload.scopes.includes(scope)),\n new RequestError(\n { code: 'auth.insufficient_scope', status: 403 },\n { requiredScopes })\n );\n\n /** Überprüfung von zusätzlichen Ansprüchen im `payload`. */\n assertThat(\n roles.includes('paid-user') && isPaidUser,\n new RequestError({ code: 'auth.role_mismatch', status: 403 }));\n // Angenommen, dass das tägliche Anruflimit 100 beträgt.\n assertThat(\n numOfCallsToday < 100,\n new RequestError({ code: 'auth.rate_limit_exceeded', status: 403 }));\n // Keine Notwendigkeit, das `balance` von Premium-Benutzern zu überprüfen.\n if (isPremiumUser) {\n return;\n }\n // Der Dienst kann nur genutzt werden, wenn das Kontoguthaben positiv ist.\n assertThat(\n balance > 0,\n new RequestError({ code: 'auth.balance_insufficient', status: 403 }));\n /** Überprüfung von zusätzlichen Ansprüchen im `payload`. */\n};\n" }) }), "\n", _jsx(_components.p, { children: "Das obenstehende Beispiel ist für das Szenario, in dem es sich auf die Anmeldung des Endbenutzers und den Erhalt des JWT-Zugriffstokens auswirkt. Wenn dein Anwendungsfall Maschine-zu-Maschine (M2M) ist, kannst du auch benutzerdefinierte JWT-Ansprüche für M2M-Apps separat konfigurieren." }), "\n", _jsx(_components.p, { children: "Die Konfiguration von benutzerdefiniertem JWT für Benutzer hat keine Auswirkungen auf das Ergebnis, wenn M2M-Apps Zugriffstoken abrufen, und umgekehrt." }), "\n", _jsxs(_components.p, { children: ["Aufgrund der allgemeinen Natur von M2M-Verbindungen bietet Logto derzeit keine Funktion der ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " Methode für M2M-Apps, die interne Daten von Logto akzeptiert. In anderen Aspekten ist die Konfigurationsmethode für benutzerdefinierte JWT-Ansprüche für M2M-Apps jedoch die gleiche wie die für Benutzer-Apps. Dieser Artikel wird darauf nicht näher eingehen. Du kannst Logtos benutzerdefinierte JWT-Funktion nutzen, um loszulegen."] }), "\n", _jsxs(_components.h3, { id: "warum-benutzerdefinierte-jwt-ansprüche-verwenden", children: ["Warum benutzerdefinierte JWT-Ansprüche verwenden?", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#warum-benutzerdefinierte-jwt-ansprüche-verwenden", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Wir haben das Szenario der AI-Assistenz-App für John und gezeigt, wie Logtos benutzerdefinierte JWT-Funktion verwendet wird, um flexiblere Autorisierungsverifizierungen durchzuführen. In diesem Prozess können wir die Vorteile der benutzerdefinierten JWT-Funktion sehen:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: ["Ohne die benutzerdefinierte JWT-Funktion müsste der Nutzer jedes Mal, wenn er die Berechtigungen überprüft, eine externe API anfragen (wie es in ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " der Fall ist). Für den Dienstanbieter, der diese API bereitstellt, könnte dies eine zusätzliche Last bedeuten. Mit der benutzerdefinierten JWT-Funktion können diese Informationen direkt in das JWT eingebracht werden, wodurch häufige Anfragen an eine externe API reduziert werden."] }), "\n", _jsx(_components.li, { children: "Für Dienstanbieter kann die benutzerdefinierte JWT-Funktion ihnen helfen, Benutzerberechtigungen schneller zu überprüfen, besonders, wenn der Client häufig den Dienstanbieter aufruft, wodurch die Dienstleistung verbessert wird." }), "\n", _jsx(_components.li, { children: "Die benutzerdefinierte JWT-Funktion kann dir helfen, zusätzliche Autorisierungsinformationen schnell zu implementieren, die im Geschäft erforderlich sind. Da JWT eigenständig ist und verschlüsselt werden kann, ist es schwierig zu fälschen, sodass diese Informationen sicher zwischen dem Client und dem Dienstanbieter übertragen werden können." }), "\n"] }), "\n", _jsx(Info, { children: _jsx(_components.p, { children: "Es ist wichtig zu beachten, dass, wie wir es in einem früheren Blog-Post erwähnt haben, das einmal ausgestellte JWT-Zugriffstoken während seiner Gültigkeitsdauer unverändert bleibt. Daher sollte die Information, die im benutzerdefinierten JWT-Ansprüchen enthalten ist, mit den tatsächlichen geschäftlichen Anforderungen kombiniert und vermeiden werden, stark veränderliche Information während der Gültigkeitsdauer des Zugriffstokens zu beinhalten." }) }), "\n", _jsxs(_components.p, { children: ["Gleichzeitig, da ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " jedes Mal ausgeführt wird, wenn ein Benutzer auf Logto ein Zugriffstoken ausstellen muss, sollte vermieden werden, übermäßig komplexe Logiken und externe API-Anfragen mit hohem Bandbreitenbedarf auszuführen. Andernfalls könnte es für den Endbenutzer zu lange dauern, auf das Ergebnis von ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " im Anmeldevorgang zu warten. Wenn deine ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " ein leeres Objekt zurückgibt, empfehlen wir dringend, diese Konfiguration vorübergehend zu löschen, bis du sie tatsächlich benötigst."] }), "\n", _jsxs(_components.h2, { id: "schlussfolgerung", children: ["Schlussfolgerung", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#schlussfolgerung", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "In diesem Artikel hat Logto das grundlegende JWT-Zugriffstoken erweitert und die Funktion zusätzlicher JWT-Ansprüche ausgebaut, um es den Nutzern zu ermöglichen, zusätzliche Endbenutzerinformationen in das JWT-Zugriffstoken gemäß ihren geschäftlichen Anforderungen einzufügen, sodass die Benutzerberechtigungen nach der Anmeldung schnell überprüft werden können." }), "\n", _jsx(_components.p, { children: "Wir bieten das Szenario von Johns AI-Assistenz-App an und demonstrieren, wie die benutzerdefinierte JWT-Funktion von Logto verwendet wird, um flexiblere Autorisierungsverifizierungen durchzuführen. Wir weisen auch auf einige wichtige Punkte bei der Nutzung benutzerdefinierter JWT hin. In Kombination mit tatsächlichen Geschäftsszenarien können Benutzer verschiedene benutzerbezogene Informationen in das JWT-Zugriffstoken gemäß ihren geschäftlichen Anforderungen einfügen, sodass der Dienstanbieter die Benutzerberechtigungen schnell überprüfen kann." }), "\n", _jsx(LogtoCloudButton, {})] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }