"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "cómo-funcionan-los-reclamos-personalizados-de-jwt-en-logto", "hProperties": { "id": "cómo-funcionan-los-reclamos-personalizados-de-jwt-en-logto" } }, "depth": 2, "value": "¿Cómo funcionan los reclamos personalizados de JWT en Logto?" }, { "data": { "id": "mejora-tu-autorización-con-reclamos-personalizados-de-jwt-un-ejemplo-práctico", "hProperties": { "id": "mejora-tu-autorización-con-reclamos-personalizados-de-jwt-un-ejemplo-práctico" } }, "depth": 2, "value": "Mejora tu autorización con reclamos personalizados de JWT: un ejemplo práctico" }, { "data": { "id": "configuración-del-escenario", "hProperties": { "id": "configuración-del-escenario" } }, "depth": 3, "value": "Configuración del escenario" }, { "data": { "id": "configuraciones-de-logto", "hProperties": { "id": "configuraciones-de-logto" } }, "depth": 3, "value": "Configuraciones de Logto" }, { "data": { "id": "verifica-si-la-función-jwt-personalizada-se-activa", "hProperties": { "id": "verifica-si-la-función-jwt-personalizada-se-activa" } }, "depth": 3, "value": "Verifica si la función JWT personalizada se activa" }, { "data": { "id": "actualiza-la-lógica-de-autorización-del-proveedor-de-servicios", "hProperties": { "id": "actualiza-la-lógica-de-autorización-del-proveedor-de-servicios" } }, "depth": 3, "value": "Actualiza la lógica de autorización del proveedor de servicios" }, { "data": { "id": "por-qué-usar-reclamos-personalizados-de-jwt", "hProperties": { "id": "por-qué-usar-reclamos-personalizados-de-jwt" } }, "depth": 3, "value": "¿Por qué usar reclamos personalizados de JWT?" }, { "data": { "id": "conclusión", "hProperties": { "id": "conclusión" } }, "depth": 2, "value": "Conclusión" }]; const readingTime = { "minutes": 9, "words": 2680, "text": "9 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", code: "code", h2: "h2", h3: "h3", li: "li", ol: "ol", p: "p", pre: "pre", span: "span", ul: "ul", ..._provideComponents(), ...props.components }, {Info, LogtoCloudButton, Note} = _components; if (!Info) _missingMdxReference("Info", true); if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); if (!Note) _missingMdxReference("Note", true); return _jsxs(_Fragment, { children: [_jsx(_components.p, { children: "En artículos anteriores, mencionamos que cada vez más sistemas están utilizando tokens de acceso en formato JWT para la autenticación de usuarios y el control de acceso. Una de las razones importantes para esto es que el JWT puede contener información útil, como roles de usuario y permisos. Esta información puede ayudarnos a transmitir la información de identidad del usuario entre el servidor y el cliente, logrando así la autenticación de usuarios y el control de acceso." }), "\n", _jsxs(_components.p, { children: ["Por lo general, la información contenida en el JWT es determinada por el servidor de autenticación. Según el protocolo OAuth 2.0, el JWT generalmente contiene campos como ", _jsx(_components.code, { children: "sub" }), " (asunto), ", _jsx(_components.code, { children: "aud" }), " (audiencia) y ", _jsx(_components.code, { children: "exp" }), " (tiempo de expiración), los cuales se denominan comúnmente reclamos. Estos reclamos pueden ayudar a verificar la validez del token de acceso."] }), "\n", _jsx(_components.p, { children: "Sin embargo, existen innumerables escenarios en los que se utiliza el JWT para la verificación, y los reclamos comunes de JWT a menudo no pueden satisfacer las necesidades del usuario. A menudo la gente se pregunta si ya que el JWT puede contener alguna información, ¿podemos agregarle información adicional para facilitar la autorización?" }), "\n", _jsx(_components.p, { children: "La respuesta es SÍ, podemos agregar reclamos personalizados al JWT, como el alcance actual del usuario y el nivel de suscripción. De esta manera, podemos transmitir la información de identidad del usuario entre el cliente y el servidor (aquí nos referimos al servidor que proporciona varios servicios diferentes, también llamado proveedor de servicios), para lograr la autenticación de usuarios y el control de acceso." }), "\n", _jsxs(_components.p, { children: ["Para obtener información sobre los reclamos estándar del JWT, consulte ", _jsx(_components.a, { href: "https://datatracker.ietf.org/doc/html/rfc7519", children: "RFC7519" }), ". Logto, como una solución de identidad que admite tanto la autenticación como la autorización, ha extendido los reclamos de recursos y alcance sobre esta base para admitir el estándar ", _jsx(_components.a, { href: "https://docs.logto.io/docs/recipes/rbac/", children: "RBAC" }), ". Aunque la implementación de RBAC de Logto es estándar, no es lo suficientemente simple y flexible como para adaptarse a todos los casos de uso."] }), "\n", _jsx(_components.p, { children: "Basado en esto, Logto lanzó una nueva función para personalizar reclamos JWT, lo que permite a los usuarios personalizar reclamos JWT adicionales, de modo que la autenticación y el control de acceso de los usuarios se puedan implementar de manera más flexible." }), "\n", _jsx(LogtoCloudButton, {}), "\n", _jsxs(_components.h2, { id: "cómo-funcionan-los-reclamos-personalizados-de-jwt-en-logto", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#cómo-funcionan-los-reclamos-personalizados-de-jwt-en-logto", children: _jsx(_components.span, { children: "#" }) }), "¿Cómo funcionan los reclamos personalizados de JWT en Logto?"] }), "\n", _jsx(_components.p, { children: "Puedes acceder a la página de listado de JWT personalizados haciendo clic en el botón \"JWT claims\" en la barra lateral." }), "\n", _jsx("center", { children: _jsx("img", { alt: "custom-jwt-listing-page", src: "https://uploads.strapi.logto.io/1/custom_jwt_listing_page_f56a88c98f.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Comencemos añadiendo reclamos personalizados para los usuarios finales." }), "\n", _jsxs(_components.p, { children: ["En el editor de la izquierda, puedes personalizar tu función ", _jsx(_components.code, { children: "getCustomJwtClaims" }), ". Este método tiene tres parámetros de entrada: ", _jsx(_components.code, { children: "token" }), ", ", _jsx(_components.code, { children: "data" }), " y ", _jsx(_components.code, { children: "envVariables" }), "."] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "token" }), " es la carga útil del token de acceso en bruto obtenida según las credenciales del usuario final actual y la configuración de tu sistema, y la información relacionada con el acceso del usuario en Logto."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "data" }), " es toda la información sobre el usuario en Logto, incluidos todos los roles del usuario, identidades de acceso social, identidades SSO, membresías de la organización, etc."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "envVariables" }), " son las variables de entorno que configuraste en Logto para el escenario de uso del token de acceso del usuario final actual, como clave(s) API de las API externas necesarias, etc."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "details-page-user-data", src: "https://uploads.strapi.logto.io/1/details_page_user_data_a92388f24a.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Las tarjetas a la derecha se pueden expandir para mostrar la introducción de los parámetros correspondientes, y también puedes configurar las variables de entorno para el escenario actual aquí." }), "\n", _jsx("center", { children: _jsx("img", { alt: "details-page-user-test", src: "https://uploads.strapi.logto.io/1/details_page_user_test_93932f6e66.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Después de leer las introducciones de todas las tarjetas a la derecha, puedes cambiar al modo de prueba, donde puedes editar los datos de prueba y utilizar los datos de prueba editados para verificar si el comportamiento del script que escribiste en el editor de código a la izquierda cumple con tus expectativas." }), "\n", _jsxs(_components.p, { children: ["Este es un diagrama de secuencia que muestra el proceso de ejecución de la función ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " cuando un usuario final inicia una solicitud de autenticación a Logto y finalmente obtiene el token de acceso en formato JWT devuelto por Logto."] }), "\n", _jsxs(_components.p, { children: ["Si la función JWT personalizado no está habilitada, el paso 3 en la figura se omitirá y el paso 4 se ejecutará justo después de que finalice el paso 2. En este caso, Logto asumirá que el valor de retorno de ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " es un objeto vacío, y luego continuará con los pasos subsiguientes."] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n participant U as Usuario o agente de usuario\n participant IdP as Logto (proveedor de identidad)\n participant SP as Proveedor de Servicios\n\n autonumber\n U ->> IdP: Solicitud de autenticación (con credenciales)\n activate IdP\n IdP-->>IdP: Validar credenciales y
generar carga útil del token de acceso en bruto\n rect rgb(191, 223, 255)\n note over IdP: JWT personalizado\n IdP->>IdP: Ejecutar script de reclamos personalizados JWT (`getCustomJwtClaims`) y
obtener reclamos adicionales de JWT\n end\n IdP-->>IdP: Combinar carga útil del token de acceso en bruto y reclamos adicionales de JWT\n IdP-->>IdP: Firmar y encriptar carga útil para obtener token de acceso JWT\n deactivate IdP\n IdP-->>U: Emitir token de acceso en formato JWT\n par Obtener servicio vía API\n U->>SP: solicitud de servicio (con token de acceso JWT)\n SP-->>U: respuesta de servicio\n end\n" }) }), "\n", _jsx(Note, { children: _jsxs(_components.p, { children: ["Por razones de seguridad, si los reclamos de JWT devueltos por la función ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " de Logto ya\nexisten en la carga útil del token de acceso, estos reclamos NO tendrán efecto y NO podrán\nsobrescribir los reclamos existentes."] }) }), "\n", _jsxs(_components.h2, { id: "mejora-tu-autorización-con-reclamos-personalizados-de-jwt-un-ejemplo-práctico", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#mejora-tu-autorización-con-reclamos-personalizados-de-jwt-un-ejemplo-práctico", children: _jsx(_components.span, { children: "#" }) }), "Mejora tu autorización con reclamos personalizados de JWT: un ejemplo práctico"] }), "\n", _jsx(_components.p, { children: "En la sección anterior, presentamos el principio de funcionamiento del JWT personalizado de Logto. En esta parte, te mostraremos cómo utilizar los reclamos personalizados de JWT de Logto para mejorar la flexibilidad de la autorización y el rendimiento del proveedor de servicios a través de un ejemplo del mundo real." }), "\n", _jsxs(_components.h3, { id: "configuración-del-escenario", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#configuración-del-escenario", children: _jsx(_components.span, { children: "#" }) }), "Configuración del escenario"] }), "\n", _jsx(_components.p, { children: "El equipo de John desarrolló una aplicación de Asistente de IA que permite a los usuarios conversar con robots de IA para obtener varios servicios." }), "\n", _jsx(_components.p, { children: "Los servicios del robot de IA se dividen en servicios gratuitos y servicios de pago. Los servicios gratuitos incluyen recomendaciones especiales de tarifas aéreas, mientras que los servicios de pago incluyen predicciones del mercado de valores." }), "\n", _jsx(_components.p, { children: "La aplicación del Asistente de IA utiliza Logto para gestionar a todos los usuarios, que se dividen en tres tipos: usuarios gratuitos, usuarios prepagados y usuarios premium. Los usuarios gratuitos solo pueden utilizar servicios gratuitos, los usuarios prepagados pueden utilizar todos los servicios (pagados según uso), y los usuarios premium pueden utilizar todos los servicios (pero tienen límites de uso para evitar el uso malintencionado)." }), "\n", _jsx(_components.p, { children: "Además, la aplicación del Asistente de IA utiliza Stripe para gestionar los pagos de usuarios y tiene su propio servicio de registro para registrar los registros de operaciones de usuarios." }), "\n", _jsxs(_components.h3, { id: "configuraciones-de-logto", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#configuraciones-de-logto", children: _jsx(_components.span, { children: "#" }) }), "Configuraciones de Logto"] }), "\n", _jsxs(_components.p, { children: ["Primero creamos recursos de API para el servicio de la aplicación del Asistente de IA y creamos dos ámbitos, ", _jsx(_components.code, { children: "recommend:flight" }), " y ", _jsx(_components.code, { children: "predict:stock" }), "."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "ai-assistant-app-resource", src: "https://uploads.strapi.logto.io/1/ai_assistant_app_resource_e3c2ee0f03.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Luego creamos dos ", _jsx(_components.code, { children: "roles" }), ", ", _jsx(_components.code, { children: "free-user" }), " y ", _jsx(_components.code, { children: "paid-user" }), ", y asignamos los ámbitos correspondientes:"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: ["Asignar el ámbito ", _jsx(_components.code, { children: "recommend:flight" }), " al rol ", _jsx(_components.code, { children: "free-user" }), "."] }), "\n", _jsxs(_components.li, { children: ["Asignar ambos ámbitos ", _jsx(_components.code, { children: "recommend:flight" }), " y ", _jsx(_components.code, { children: "predict:stock" }), " al rol ", _jsx(_components.code, { children: "paid-user" }), "."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "free-user-role", src: "https://uploads.strapi.logto.io/1/free_user_role_153a0277ba.webp", width: "800" }) }), "\n", _jsx("center", { children: _jsx("img", { alt: "paid-user-role", src: "https://uploads.strapi.logto.io/1/paid_user_role_d2fa9f5db6.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Finalmente, creamos tres usuarios, ", _jsx(_components.code, { children: "free-user" }), ", ", _jsx(_components.code, { children: "prepaid-user" }), " y ", _jsx(_components.code, { children: "premium-user" }), ", y asignamos los roles correspondientes:"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: ["Asignar el rol ", _jsx(_components.code, { children: "free-user" }), " al usuario ", _jsx(_components.code, { children: "free-user" }), "."] }), "\n", _jsxs(_components.li, { children: ["Asignar el rol ", _jsx(_components.code, { children: "paid-user" }), " a los usuarios ", _jsx(_components.code, { children: "prepaid-user" }), " y ", _jsx(_components.code, { children: "premium-user" }), "."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "assign-free-user-role", src: "https://uploads.strapi.logto.io/1/assign_free_user_role_f7d37cb5c9.webp", width: "800" }) }), "\n", _jsx("center", { children: _jsx("img", { alt: "assign-paid-user-role", src: "https://uploads.strapi.logto.io/1/assign_paid_user_role_2dbfd74d6e.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Como se muestra en la siguiente figura, para implementar la información de autorización requerida para el escenario descrito anteriormente, esperamos incluir la información de ", _jsx(_components.code, { children: "roles" }), ", ", _jsx(_components.code, { children: "balance" }), " y ", _jsx(_components.code, { children: "numOfCallsToday" }), " del usuario actualmente registrado en el JWT. Al verificar el token de acceso en la aplicación del Asistente de IA, esta información se puede utilizar para realizar una verificación de permisos rápidamente."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "test-custom-jwt-claims", src: "https://uploads.strapi.logto.io/1/test_custom_jwt_claims_3fcd4c2004.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Después de configurar los ", _jsx(_components.code, { children: "envVariables" }), ", implementamos la función ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " y hacemos clic en el botón \"Run test\" para ver el resultado de los reclamos JWT adicionales basados en los datos de prueba actuales."] }), "\n", _jsxs(_components.p, { children: ["Dado que no hemos configurado los datos de prueba para ", _jsx(_components.code, { children: "data.user.roles" }), " , los ", _jsx(_components.code, { children: "roles" }), " que se muestran en el resultado es un array vacío."] }), "\n", _jsxs(_components.h3, { id: "verifica-si-la-función-jwt-personalizada-se-activa", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#verifica-si-la-función-jwt-personalizada-se-activa", children: _jsx(_components.span, { children: "#" }) }), "Verifica si la función JWT personalizada se activa"] }), "\n", _jsxs(_components.p, { children: ["Según la configuración de Logto anterior, obtuvimos los resultados correspondientes en la prueba. A continuación, utilizaremos la aplicación de ejemplo proporcionada por Logto para verificar si nuestro JWT personalizado es efectivo. Encuentra el SDK con el que estés familiarizado en ", _jsx(_components.a, { href: "https://docs.logto.io/sdk/", children: "Logto SDKs" }), " y despliega una aplicación de ejemplo según la documentación y el repositorio de GitHub correspondiente."] }), "\n", _jsxs(_components.p, { children: ["Basado en la configuración que describimos anteriormente, tomando el ", _jsx(_components.a, { href: "https://docs.logto.io/sdk/react/", children: "React SDK" }), " como ejemplo, necesitamos actualizar la configuración correspondiente en LogtoConfig:"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "import { LogtoProvider, LogtoConfig, UserScope } from '@logto/react';\n\nconst config: LogtoConfig = {\n appId,\n endpoint,\n scopes: [\n UserScope.Email,\n UserScope.Phone,\n UserScope.CustomData,\n UserScope.Identities,\n UserScope.Organizations,\n \"recommend:flight\",\n \"predict:stock\",\n ],\n resources: [\"https://api.aiassistant.app/v1\"]\n};\n\nconst App = () => (\n \n \n \n);\n" }) }), "\n", _jsxs(_components.p, { children: ["Después de iniciar sesión como usuario ", _jsx(_components.code, { children: "free_user" }), " en la aplicación de ejemplo que simula la aplicación del Asistente de IA, podemos ver la información ", _jsx(_components.code, { children: "roles" }), ", ", _jsx(_components.code, { children: "balance" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " e ", _jsx(_components.code, { children: "isPremiumUser" }), " que añadimos al ver la parte de carga útil del token de acceso JWT."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "sample-app-access-token-preview-free", src: "https://uploads.strapi.logto.io/1/sample_app_access_token_preview_free_117a8594c8.webp", width: "400" }) }), "\n", _jsxs(_components.p, { children: ["Los valores de ", _jsx(_components.code, { children: "balance" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " e ", _jsx(_components.code, { children: "isPremiumUser" }), " son consistentes con la prueba anterior, y ", _jsx(_components.code, { children: "roles" }), " es igual a ", _jsx(_components.code, { children: "[\"free-user\"]" }), ". Esto se debe a que en el proceso de inicio de sesión real del usuario final, obtendremos todos los datos accesibles del usuario y los procesaremos en consecuencia."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "sample-app-access-token-preview-premium", src: "https://uploads.strapi.logto.io/1/sample_app_access_token_preview_premium_673f6f3db1.webp", width: "400" }) }), "\n", _jsxs(_components.p, { children: ["Para los usuarios premium, podemos ver que ", _jsx(_components.code, { children: "roles" }), " es ", _jsx(_components.code, { children: "[\"paid-user\"]" }), " y tanto ", _jsx(_components.code, { children: "isPaidUser" }), " como ", _jsx(_components.code, { children: "isPremiumUser" }), " son ", _jsx(_components.code, { children: "true" }), "."] }), "\n", _jsxs(_components.h3, { id: "actualiza-la-lógica-de-autorización-del-proveedor-de-servicios", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#actualiza-la-lógica-de-autorización-del-proveedor-de-servicios", children: _jsx(_components.span, { children: "#" }) }), "Actualiza la lógica de autorización del proveedor de servicios"] }), "\n", _jsx(_components.p, { children: "En los pasos anteriores, añadimos reclamos personalizados basados en las necesidades comerciales al token de acceso del usuario. A continuación, podemos utilizar estos reclamos para realizar rápidamente la verificación de autorización." }), "\n", _jsxs(Note, { children: [_jsx(_components.p, { children: "Es importante tomar en cuenta que no recomendamos confiar completamente en los reclamos personalizados para la verificación de autorización." }), _jsx(_components.p, { children: "Dado que la implementación de RBAC sigue el principio del menor privilegio, para garantizar la seguridad, la verificación con reclamos personalizados debe ser una verificación auxiliar adicional basada en RBAC. Esto es para evitar la ampliación del alcance de los permisos de autorización del usuario debido a la introducción de reclamos personalizados adicionales." })] }), "\n", _jsxs(_components.p, { children: ["Aquí te proporcionamos la lógica de Logto para verificar tokens de acceso JWT en el lado API. La implementación completa del código se puede encontrar en el ", _jsx(_components.a, { href: "https://github.com/logto-io/logto/blob/master/packages/core/src/middleware/koa-auth/index.ts", children: "repositorio de GitHub" }), ":"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "import type { IncomingHttpHeaders } from 'node:http';\n\nimport { createLocalJWKSet, jwtVerify, type JWK } from 'jose';\n\nconst extractBearerTokenFromHeaders = (\n { authorization }: IncomingHttpHeaders\n) => {\n const bearerTokenIdentifier = 'Bearer';\n\n assertThat(\n authorization,\n new RequestError({\n code: 'auth.authorization_header_missing',\n status: 401\n })\n );\n assertThat(\n authorization.startsWith(bearerTokenIdentifier),\n new RequestError(\n { code: 'auth.authorization_token_type_not_supported', status: 401 },\n { supportedTypes: [bearerTokenIdentifier] }\n )\n );\n\n return authorization.slice(bearerTokenIdentifier.length + 1);\n};\n\nconst verifyBearerTokenFromRequest = async (\n publicJwks: JWT;\n issuer: string,\n request: Request,\n audience: Optional\n): Promise => {\n try {\n // Obtén los JWKs públicos y el emisor.\n const [keys, issuer] = await getKeysAndIssuer();\n const { payload } = await jwtVerify(\n extractBearerTokenFromHeaders(request.headers),\n createLocalJWKSet({ keys }),\n {\n issuer,\n audience,\n }\n );\n\n const { sub, client_id: clientId, scope = '' } = payload;\n assertThat(sub,\n new RequestError({ code: 'auth.jwt_sub_missing', status: 401 }));\n\n return { sub, clientId, scopes: z.string().parse(scope).split(' ') };\n } catch (error: unknown) {\n if (error instanceof RequestError) {\n throw error;\n }\n\n throw new RequestError(\n { code: 'auth.unauthorized', status: 401 },\n error\n );\n }\n};\n" }) }), "\n", _jsxs(_components.p, { children: ["Puedes referirte a la lógica de la API de Logto para verificar tokens de acceso y personalizarla según tu propia lógica de negocio. Por ejemplo, para el escenario de la aplicación del Asistente de IA descrito aquí, puedes añadir una lógica de verificación para reclamos personalizados como ", _jsx(_components.code, { children: "roles" }), ", ", _jsx(_components.code, { children: "balance" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " e ", _jsx(_components.code, { children: "isPremiumUser" }), " en la función ", _jsx(_components.code, { children: "verifyBearerTokenFromRequest" }), "."] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "const verifyBearerTokenFromRequest = async (\n publicJwks: JWT;\n issuer: string,\n request: Request,\n audience: Optional\n): Promise => {\n try {\n // Obtén los JWKs públicos y el emisor.\n const [keys, issuer] = await getKeysAndIssuer();\n const { payload } = await jwtVerify(\n extractBearerTokenFromHeaders(request.headers),\n createLocalJWKSet({ keys }),\n {\n issuer,\n audience,\n }\n );\n\n const {\n sub,\n client_id: clientId,\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser,\n scope = ''\n } = payload;\n assertThat(sub,\n new RequestError({ code: 'auth.jwt_sub_missing', status: 401 }));\n\n return {\n sub,\n clientId,\n scopes: z.string().parse(scope).split(' '),\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser\n };\n } catch (error: unknown) {\n if (error instanceof RequestError) {\n throw error;\n }\n\n throw new RequestError({ code: 'auth.unauthorized', status: 401 }, error);\n }\n};\n\nconst authorizeBearerTokenPayload = (\n payload: Payload,\n requiredScopes: string[],\n requiredRoles: string[]\n): void => {\n const {\n scope,\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser\n } = payload;\n const scopes: string[] = scope.split(' ');\n\n // Validación RBAC.\n /**\n * `free-user` no tiene el ámbito `predict:stock`, por lo que si la API requiere\n * el ámbito `predict:stock`, la solicitud será rechazada directamente.\n */\n assertThat(\n requiredScopes.every((scope) => payload.scopes.includes(scope)),\n new RequestError(\n { code: 'auth.insufficient_scope', status: 403 },\n { requiredScopes })\n );\n\n /** Validación sobre reclamos adicionales en la `payload`. */\n assertThat(\n roles.includes('paid-user') && isPaidUser,\n new RequestError({ code: 'auth.role_mismatch', status: 403 }));\n // Supongamos que el límite diario de llamadas es 100.\n assertThat(\n numOfCallsToday < 100,\n new RequestError({ code: 'auth.rate_limit_exceeded', status: 403 }));\n // No es necesario verificar el `balance` de los usuarios premium.\n if (isPremiumUser) {\n return;\n }\n // Se puede acceder al servicio solo cuando el balance es positivo.\n assertThat(\n balance > 0,\n new RequestError({ code: 'auth.balance_insufficient', status: 403 }));\n /** Validación sobre reclamos adicionales en la `payload`. */\n};\n" }) }), "\n", _jsx(_components.p, { children: "El ejemplo anterior es para el escenario donde afecta el inicio de sesión del usuario final y la obtención del token de acceso JWT. Si tu caso de uso es máquina-a-máquina (M2M), también puedes configurar reclamos personalizados de JWT para aplicaciones M2M por separado." }), "\n", _jsx(_components.p, { children: "Configurar JWT personalizados para usuarios no afectará el resultado de las aplicaciones M2M al obtener tokens de acceso, y viceversa." }), "\n", _jsxs(_components.p, { children: ["Debido a la generalidad de las conexiones M2M, Logto no proporciona actualmente la función del método ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " de las aplicaciones M2M para aceptar datos internos de Logto. En otros aspectos, el método de configuración de JWT personalizados para aplicaciones M2M es el mismo que el de las aplicaciones de usuarios. Este artículo no lo profundizará. Puedes usar la función JWT personalizada de Logto para comenzar."] }), "\n", _jsxs(_components.h3, { id: "por-qué-usar-reclamos-personalizados-de-jwt", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#por-qué-usar-reclamos-personalizados-de-jwt", children: _jsx(_components.span, { children: "#" }) }), "¿Por qué usar reclamos personalizados de JWT?"] }), "\n", _jsx(_components.p, { children: "Hemos proporcionado el escenario de la aplicación del Asistente de IA para John y cómo utilizar la función de JWT personalizado de Logto para lograr una verificación de autorización más flexible. En este proceso, podemos ver las ventajas de la función de JWT personalizado:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: ["Sin la función de JWT personalizado, los usuarios necesitarían solicitar una API externa (como lo que haces en ", _jsx(_components.code, { children: "getCustomJwtClaims" }), ") cada vez que verifiquen permisos. Para el proveedor de servicios que proporciona esta API, esto podría aumentar la carga adicional. Con la función de JWT personalizado, esta información puede incluirse directamente en el JWT, reduciendo las llamadas frecuentes a la API externa."] }), "\n", _jsx(_components.li, { children: "Para los proveedores de servicios, la función de JWT personalizado puede ayudarles a verificar los permisos de los usuarios más rápidamente, especialmente cuando el cliente llama frecuentemente al proveedor de servicios, mejorando el rendimiento del servicio." }), "\n", _jsx(_components.li, { children: "La función de JWT personalizado puede ayudarte a implementar rápidamente información de autorización adicional requerida por el negocio, y la información puede transmitirse entre el cliente y el proveedor de servicios de manera segura, ya que el JWT es autónomo y podría ser encriptado para que sea difícil de falsificar." }), "\n"] }), "\n", _jsx(Info, { children: _jsx(_components.p, { children: "Es importante tener en cuenta que, como mencionamos en una publicación de blog anterior, una vez que se emite un\ntoken de acceso JWT, no cambiará durante su período de validez. Por lo tanto, la información contenida en los\nreclamos personalizados de JWT debe combinarse con las necesidades comerciales reales y evitar incluir información\nque sea importante para la autorización pero que cambie drásticamente durante el período de validez del\ntoken de acceso." }) }), "\n", _jsxs(_components.p, { children: ["Al mismo tiempo, dado que ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " se ejecuta cada vez que un usuario necesita que Logto emita un token de acceso, es necesario evitar ejecutar lógica excesivamente compleja y solicitudes de API externas con altos requisitos de ancho de banda. De lo contrario, podría llevar demasiado tiempo que los usuarios finales esperen el resultado de ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " durante el proceso de inicio de sesión. Si tu ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " devuelve un objeto vacío, te recomendamos encarecidamente que elimines temporalmente este elemento de configuración hasta que realmente necesites usarlo."] }), "\n", _jsxs(_components.h2, { id: "conclusión", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#conclusión", children: _jsx(_components.span, { children: "#" }) }), "Conclusión"] }), "\n", _jsx(_components.p, { children: "En este artículo, Logto ha extendido el token de acceso JWT básico y ha ampliado la función de reclamos adicionales de JWT para permitir que los usuarios pongan información adicional de usuario final en el token de acceso JWT según sus necesidades comerciales, de modo que una vez que el usuario haya iniciado sesión, se puedan verificar rápidamente los permisos del usuario." }), "\n", _jsx(_components.p, { children: "Proporcionamos el escenario de la aplicación del Asistente de IA de John y demostramos cómo utilizar la función de JWT personalizado de Logto para lograr una verificación de autorización más flexible. También señalamos algunos puntos clave al utilizar JWT personalizados. En combinación con escenarios comerciales reales, los usuarios pueden poner diversas informaciones relacionadas con el usuario en el token de acceso JWT según sus necesidades comerciales, de modo que el proveedor de servicios pueda verificar rápidamente los permisos del usuario." }), "\n", _jsx(LogtoCloudButton, {})] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }