"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "johdanto", "hProperties": { "id": "johdanto" } }, "depth": 2, "value": "Johdanto" }, { "data": { "id": "mutta-ensin-mitä-ja-miksi", "hProperties": { "id": "mutta-ensin-mitä-ja-miksi" } }, "depth": 2, "value": "Mutta ensin, mitä ja miksi?" }, { "data": { "id": "integroi-oidc-palvelin", "hProperties": { "id": "integroi-oidc-palvelin" } }, "depth": 2, "value": "Integroi OIDC-palvelin" }, { "data": { "id": "etsi-oidc-palveluntarjoaja", "hProperties": { "id": "etsi-oidc-palveluntarjoaja" } }, "depth": 3, "value": "Etsi OIDC-palveluntarjoaja" }, { "data": { "id": "subjekti-asiakas-ja-kohdeyleisö", "hProperties": { "id": "subjekti-asiakas-ja-kohdeyleisö" } }, "depth": 3, "value": "Subjekti, asiakas ja kohdeyleisö" }, { "data": { "id": "1-käyttäjä-klikkaa-kirjautumispainiketta-verkkosovelluksessa", "hProperties": { "id": "1-käyttäjä-klikkaa-kirjautumispainiketta-verkkosovelluksessa" } }, "depth": 4, "value": "1. Käyttäjä klikkaa kirjautumispainiketta verkkosovelluksessa" }, { "data": { "id": "2-käyttäjä-käyttää-yhden-sivun-sovellusta", "hProperties": { "id": "2-käyttäjä-käyttää-yhden-sivun-sovellusta" } }, "depth": 4, "value": "2. Käyttäjä käyttää yhden sivun sovellusta" }, { "data": { "id": "3-kone-kone--kommunikointi", "hProperties": { "id": "3-kone-kone--kommunikointi" } }, "depth": 4, "value": "3. Kone-kone -kommunikointi" }, { "data": { "id": "yhteenveto", "hProperties": { "id": "yhteenveto" } }, "depth": 4, "value": "Yhteenveto" }, { "data": { "id": "tokenit", "hProperties": { "id": "tokenit" } }, "depth": 3, "value": "Tokenit" }, { "data": { "id": "useita-kohdeyleisöjä", "hProperties": { "id": "useita-kohdeyleisöjä" } }, "depth": 3, "value": "Useita kohdeyleisöjä" }, { "data": { "id": "määritä-resource-koodinvaihtopyynnössä", "hProperties": { "id": "määritä-resource-koodinvaihtopyynnössä" } }, "depth": 4, "value": "Määritä resource koodinvaihtopyynnössä" }, { "data": { "id": "käytä-päivitystokennia-saadaksesi-uuden-pääsytokenin", "hProperties": { "id": "käytä-päivitystokennia-saadaksesi-uuden-pääsytokenin" } }, "depth": 4, "value": "Käytä päivitystokennia saadaksesi uuden pääsytokenin" }, { "data": { "id": "asiakasvaltuutukset-myynti", "hProperties": { "id": "asiakasvaltuutukset-myynti" } }, "depth": 4, "value": "Asiakasvaltuutukset-myynti" }, { "data": { "id": "suojaa-api-palvelusi", "hProperties": { "id": "suojaa-api-palvelusi" } }, "depth": 3, "value": "Suojaa API-palvelusi" }, { "data": { "id": "vahvista-väitteet", "hProperties": { "id": "vahvista-väitteet" } }, "depth": 4, "value": "Vahvista väitteet" }, { "data": { "id": "autorisointi", "hProperties": { "id": "autorisointi" } }, "depth": 2, "value": "Autorisointi" }, { "data": { "id": "lopetushuomautukset", "hProperties": { "id": "lopetushuomautukset" } }, "depth": 2, "value": "Lopetushuomautukset" }]; const readingTime = { "minutes": 6, "words": 1670, "text": "6 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", blockquote: "blockquote", code: "code", em: "em", h2: "h2", h3: "h3", h4: "h4", li: "li", p: "p", pre: "pre", span: "span", strong: "strong", ul: "ul", ..._provideComponents(), ...props.components }, {Info, LogtoCloudButton, Note} = _components; if (!Info) _missingMdxReference("Info", true); if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); if (!Note) _missingMdxReference("Note", true); return _jsxs(_Fragment, { children: [_jsxs(_components.h2, { id: "johdanto", children: ["Johdanto", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#johdanto", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Saatat kohdata tilanteen, jossa tarvitset keskitetyn todennus- ja valtuutusjärjestelmän, eli ns. identiteetin hallintaa (IAM) tai identiteetin tarjoajaa (IdP). Joskus ihmiset lisäävät sanan liiketoiminnan mukaan, kuten Customer IAM ja Workforce IAM." }), "\n", _jsx(_components.p, { children: "Jätetään nämä hienot nimet hetkeksi syrjään. Tarve IAM-järjestelmälle voi ilmetä, koska sovelluksesi kasvaa tai aiot siirtää raskaan työn alusta alkaen toimittajalle. Siitä huolimatta olet saavuttamassa kohta, jossa identiteettijärjestelmä on otettava käyttöön projektissasi." }), "\n", _jsx(_components.p, { children: "Vertaillessasi OAuth 2.0:n suosiota, OpenID Connect (OIDC) on luonnollinen valinta monille kehittäjille. Koska OIDC on todennuskerros, joka perustuu OAuth 2.0:n päälle, saatat tuntea olosi tutuksi aloittaessasi työskentelyn OIDC:n kanssa. Aloitetaan!" }), "\n", _jsxs(_components.h2, { id: "mutta-ensin-mitä-ja-miksi", children: ["Mutta ensin, mitä ja miksi?", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#mutta-ensin-mitä-ja-miksi", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.blockquote, { children: ["\n", _jsx(_components.p, { children: "Voit vapaasti ohittaa tämän osion, jos olet jo tuttu käsitteistä identiteetin tarjoaja ja sen tärkeydestä." }), "\n"] }), "\n", _jsxs(_components.p, { children: ["OIDC-palvelin tai identiteetin tarjoaja on keskitetty järjestelmä, joka hallitsee käyttäjien todennuksen ja valtuutuksen. Kuten keskustelimme artikkelissamme ", _jsx(_components.a, { href: "https://blog.logto.io/centralized-identity-system", children: "Why you need a centralized identity system for a multi-app business" }), ", keskitetty identiteettijärjestelmä tarjoaa monia etuja."] }), "\n", _jsx(_components.p, { children: "Oletetaan, että projektisi alkaa yksinkertaisella verkkosovelluksella, jossa on sisäänrakennettu todennus:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "graph LR\n A[Käyttäjä] --> B[Verkkosovellus]\n" }) }), "\n", _jsx(_components.p, { children: "Kun projektisi kasvaa, sinun on otettava käyttöön mobiiliversio:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "graph LR\n A[Käyttäjä] --> B[Verkkosovellus]\n A --> C[Mobiilisovellus]\n" }) }), "\n", _jsx(_components.p, { children: "Se olisi huono kokemus käyttäjille, jos heidän pitäisi luoda tili jokaiselle sovellukselle. Koska aloitit verkkosovelluksella, annat mobiilisovelluksen kommunikoida verkkosovelluksen kanssa todennuksessa:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "graph LR\n A[Käyttäjä] --> B[Verkkosovellus]\n A --> C[Mobiilisovellus]\n C --> B\n" }) }), "\n", _jsx(_components.p, { children: "Nyt uusi API-palvelu otetaan käyttöön. Koska se on maksullisten käyttäjien palvelu, sinun on varmistettava, että käyttäjä on todennettu ja valtuutettu käyttämään palvelua. Saavuttaaksesi tämän, voit ohjata palvelun verkkosovelluksen kautta:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "graph LR\n A[Käyttäjä] --> B[Verkkosovellus]\n A --> C[Mobiilisovellus]\n C --> B\n B --> D[API-palvelu]\n" }) }), "\n", _jsx(_components.p, { children: "Tai käytä jotakin token-tekniikkaa käyttäjän todentamiseen ja varmista token keskustelemalla verkkosovelluksen kanssa palvelussa. Siksi mobiilisovellus voi käyttää palvelua suoraan:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "graph LR\n A[Käyttäjä] --> B[Verkkosovellus]\n A --> C[Mobiilisovellus]\n C --> B\n B <--> D[API-palvelu]\n C --> D\n" }) }), "\n", _jsx(_components.p, { children: "Asiat menevät sekaisin. Joten päätät jakaa todennus- ja valtuutuslogiikan erilliseen palveluun:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "graph LR\n A[Käyttäjä] --> B[Verkkosovellus]\n A --> C[Mobiilisovellus]\n B --> D[API-palvelu]\n C --> D\n B --> E[Identiteettipalvelu] \n C --> E\n D --> E \n\n subgraph Sovellukset\n B\n C\n end\n\n subgraph Palvelut\n D\n end\n\n subgraph Identiteetti\n E\n end\n" }) }), "\n", _jsx(_components.p, { children: "Uudistamisprosessi voi olla tuskallinen. Saatat huomata, että sen monimutkaisuus kasvaa eksponentiaalisesti, kun lisäät enemmän sovelluksia ja palveluita projektiin. Vielä pahempaa on, että sinun on ehkä ylläpidettävä useita todennusmenetelmiä, kuten salasanaton kirjautuminen, sosiaalinen kirjautuminen, SAML, jne." }), "\n", _jsx(_components.p, { children: "Tämän vuoksi on parempi ottaa käyttöön identiteetin tarjoaja alusta alkaen, kun sinulla on suunnitelma laajentaa projektiasi." }), "\n", _jsx(Note, { children: _jsx(_components.p, { children: "Tietenkään ei ole poissuljettu, että projekti on riittävän yksinkertainen ja tiedät sen pysyvän yksinkertaisena jonkin aikaa. Voit jättää tämän artikkelin ja palata tarvittaessa." }) }), "\n", _jsxs(_components.h2, { id: "integroi-oidc-palvelin", children: ["Integroi OIDC-palvelin", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#integroi-oidc-palvelin", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.h3, { id: "etsi-oidc-palveluntarjoaja", children: ["Etsi OIDC-palveluntarjoaja", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#etsi-oidc-palveluntarjoaja", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Markkinoilla on monia OIDC-palveluntarjoajia. Voit valita yhden vaatimustesi ja mieltymystesi mukaan. Kuten pitkään palveluntarjoaja on OIDC-yhteensopiva, se toimii samassa roolissa projektissasi." }), "\n", _jsx(Info, { children: _jsxs(_components.p, { children: [_jsx(_components.a, { href: "https://logto.io", children: "Logto" }), " on avoimen lähdekoodin OIDC-palveluntarjoaja valmiiksi rakennetuilla identiteetin ja pääsyn hallintatoiminnoilla."] }) }), "\n", _jsxs(_components.h3, { id: "subjekti-asiakas-ja-kohdeyleisö", children: ["Subjekti, asiakas ja kohdeyleisö", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#subjekti-asiakas-ja-kohdeyleisö", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["Yksinkertaistaaksemme käsitettä, voimme ajatella, että ", _jsx(_components.em, { children: "subjekti" }), " on entiteetti, joka pyytää pääsyä ", _jsx(_components.em, { children: "kohdeyleisöön" }), " ", _jsx(_components.em, { children: "asiakkaan" }), " kautta."] }), "\n", _jsx(Note, { title: "En näe kohdeyleisöä (aud) tokeneissa", children: _jsx(_components.p, { children: "Kun kohdeyleisö on puuttuu, se yleensä tarkoittaa, että kohdeyleisö on OIDC-palvelin itse." }) }), "\n", _jsx(_components.p, { children: "Katsotaanpa joitain tyypillisiä skenaarioita:" }), "\n", _jsxs(_components.h4, { id: "1-käyttäjä-klikkaa-kirjautumispainiketta-verkkosovelluksessa", children: ["1. Käyttäjä klikkaa kirjautumispainiketta verkkosovelluksessa", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#1-käyttäjä-klikkaa-kirjautumispainiketta-verkkosovelluksessa", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Perinteisessä ja palvelinpohjaisessa verkkosovelluksessa frontend ja backend ovat kytkeytyneet toisiinsa. Oletetaan, että verkkosovellus palvelee sekä frontendia että backendia:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Subjekti" }), ": Käyttäjä"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Kohdeyleisö" }), ": OIDC-palvelin"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Asiakas" }), ": Verkkosovellus"] }), "\n"] }), "\n", _jsxs(_components.p, { children: ["Se saattaa näyttää epäintuitiiviselta, että kohdeyleisö on OIDC-palvelin. Itse asiassa se on avain SSO (Single Sign-On) -kokemuksen toteuttamiseksi loppukäyttäjille. Katsotaanpa yksinkertaistettua sekvenssikaaviota ", _jsx(_components.a, { href: "https://blog.logto.io/implicit-flow-is-dead#how-authorization-code-flow-works", children: "autorisointikoodin virta" }), ":"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n participant User as Käyttäjä
(subjekti)\n participant App1 as WebApp 1
(asiakas)\n participant App2 as WebApp 2
(asiakas)\n participant OIDC as OIDC-palvelin
(kohdeyleisö)\n\n User ->> App1: Klikkaa kirjautua\n App1 ->> OIDC: Uudelleenohjaa
(autorisointipyyntö)\n OIDC ->> User: Näytä kirjautumissivu\n User ->> OIDC: Kirjaudu sisään\n OIDC ->> App1: Uudelleenohjaa `koodi`lla\n App1 ->> OIDC: Vaihda tokenit `koodi`a käyttäen\n Note over User: Juo kuppi kahvia\n User ->> App2: Klikkaa kirjautua sisään\n App2 ->> OIDC: Uudelleenohjaa\n OIDC ->> OIDC: Löytyi voimassa oleva istunto\n OIDC ->> App2: Uudelleenohjaa `koodi`lla\n App2 ->> OIDC: Vaihda tokenit `koodi`a käyttäen\n" }) }), "\n", _jsxs(_components.p, { children: [_jsx(_components.code, { children: "koodi" }), " on kertakäyttöinen koodi, joka voidaan vaihtaa erilaisiksi tokeneiksi, kuten pääsytokeniksi, ID-tokeniksi ja päivitystokeniksi. Ei haittaa, jos et tällä hetkellä ymmärrä kaikkia näitä tokeneita. Kun etenemme eteenpäin, ymmärryksesi niistä paranee."] }), "\n", _jsx(_components.p, { children: "Yllä olevassa tapauksessa käyttäjän ei tarvitse kirjautua uudelleen, kun hän siirtyy toiseen sovellukseen, koska käyttäjä (subjekti) on jo todennettu OIDC-palvelimen (kohdeyleisö) kanssa." }), "\n", _jsxs(_components.h4, { id: "2-käyttäjä-käyttää-yhden-sivun-sovellusta", children: ["2. Käyttäjä käyttää yhden sivun sovellusta", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#2-käyttäjä-käyttää-yhden-sivun-sovellusta", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Yhden sivun sovelluksessa (tai mobiilisovelluksessa) frontend ja backend ovat erilliset. Oletetaan, että backend on API-palvelu:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Subjekti" }), ": Käyttäjä"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Kohdeyleisö" }), ": API-palvelu"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Asiakas" }), ": Yhden sivun sovellus (SPA)"] }), "\n"] }), "\n", _jsx(_components.p, { children: "Yksinkertaistettu sekvenssikaavio käyttäen autorisointikoodivirtaa:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n participant User as Käyttäjä
(subjekti)\n participant SPA as Yhden sivun sovellus
(asiakas)\n participant API as API-palvelu
(kohdeyleisö)\n participant OIDC as OIDC-palvelin
(kohdeyleisö)\n\n User ->> SPA: Klikkaa kirjautua\n SPA ->> OIDC: Uudelleenohjaa
(autorisointipyyntö)\n OIDC ->> User: Näytä kirjautumissivu\n User ->> OIDC: Kirjaudu sisään\n OIDC ->> SPA: Uudelleenohjaa `koodi`lla\n SPA ->> OIDC: Vaihda tokenit `koodi`a käyttäen\n User ->> SPA: Yritä nähdä suojattu sivu\n SPA ->> API: Pyydä tietoja pääsytokenilla\n API ->> OIDC: Varmista pääsytoken\n OIDC ->> API: OK\n API ->> SPA: Vastaustiedot\n" }) }), "\n", _jsx(_components.p, { children: "Koska API-palvelu on vuorovaikutukseton, SPA tarvitsee käyttää pääsytokenia API-palvelun kanssa kohdeyleisönä (aud tokeneissa)." }), "\n", _jsx(_components.p, { children: _jsx(_components.strong, { children: "Miksi OIDC-palvelin on edelleen kohdeyleisö?" }) }), "\n", _jsx(_components.p, { children: "Teknisesti voit poistaa OIDC-palvelimen kohdeyleisölistasta. Koska useimmissa tapauksissa tarvitset käyttäjätietoja OIDC-palvelimelta (joka vaatii OIDC-palvelimen olevan kohdeyleisö), on parempi aina sisällyttää OIDC-palvelin kohdeyleisölistaan käyttäjän kanssa vuorovaikutuksessa." }), "\n", _jsx(_components.p, { children: _jsx(_components.strong, { children: "Odota, oletko sanomassa, että voimme olla useita kohdeyleisöjä autorisointipyynnössä?" }) }), "\n", _jsxs(_components.p, { children: ["Nimenomaan! Muista, että OIDC rakentuu OAuth 2.0:n päälle, on mahdollista hyödyntää ", _jsx(_components.a, { href: "https://datatracker.ietf.org/doc/html/rfc8707", children: "RFC 8707: Resource Indicators for OAuth 2.0" }), " autorisointipyynnössä määritelläksesi useita kohdeyleisöjä. Se vaatii sekä myöntötuesta että OIDC-palvelimen tuen. ", _jsx(_components.a, { href: "https://logto.io", children: "Logto" }), " tukee tätä ominaisuutta natiivisti."] }), "\n", _jsxs(_components.h4, { id: "3-kone-kone--kommunikointi", children: ["3. Kone-kone -kommunikointi", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#3-kone-kone--kommunikointi", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Oletetaan, että sinulla on palvelu A, joka tarvitsee kutsua palvelua B:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Subjekti" }), ": Palvelu A"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Kohdeyleisö" }), ": Palvelu B"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Asiakas" }), ": Palvelu A"] }), "\n"] }), "\n", _jsxs(_components.p, { children: ["Yksinkertaistettu sekvenssikaavio käyttäen ", _jsx(_components.a, { href: "https://datatracker.ietf.org/doc/html/rfc6749#section-1.3.4", children: "asiakasvaltuutukset-myyntiä" }), ":"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n participant ServiceA as Palvelu A
(subjekti ja asiakas)\n participant ServiceB as Palvelu B
(kohdeyleisö)\n participant OIDC as OIDC-palvelin\n\n ServiceA ->> OIDC: Pyydä pääsytokenia
asiakasvaltuutusten kanssa (token-pyyntö)\n OIDC ->> ServiceA: Pääsytoken\n ServiceA ->> ServiceB: Pyydä tietoja pääsytokenilla\n ServiceB ->> OIDC: Varmista pääsytoken\n OIDC ->> ServiceB: OK\n ServiceB ->> ServiceA: Vastaustiedot\n" }) }), "\n", _jsx(_components.p, { children: "Kun palvelu B tarvitsee kutsua palvelua A, roolit yksinkertaisesti vaihdetaan." }), "\n", _jsxs(_components.h4, { id: "yhteenveto", children: ["Yhteenveto", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#yhteenveto", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Subjekti" }), ": Se voi olla käyttäjä, palvelu tai mikä tahansa entiteetti, joka tarvitsee pääsyn kohdeyleisöön."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Asiakas" }), ": Se voi olla verkkosovellus, mobiilisovellus tai mikä tahansa entiteetti, joka aloittaa pyynnön tai toimii subjektin puolesta."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Kohdeyleisö" }), ": Se voi olla palvelu, API, tai mikä tahansa entiteetti, joka tarjoaa pääsyn subjektille."] }), "\n"] }), "\n", _jsxs(_components.h3, { id: "tokenit", children: ["Tokenit", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#tokenit", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "On kolme tyyppiä tokenia, joita saatat kohdata työskennellessäsi OIDC:n kanssa:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Pääsytoken" }), ": Sitä käytetään pääsemään kohdeyleisöön. Se voi olla JWT (JSON Web Token) tai läpinäkymätön tokeni (yleensä satunnainen merkkijono)."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "ID-token" }), ": OIDC-spesifinen token, joka sisältää käyttäjätietoja. Se on aina JWT. Asiakas voi purkaa tokenin saada käyttäjätiedot."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Päivitystoken" }), ": Sitä käytetään saamaan uusi tokenpaketti, kun pääsytoken tai ID-token vanhenee."] }), "\n"] }), "\n", _jsxs(_components.p, { children: ["Yksityiskohtaisen selityksen näistä tokeneista löydät ", _jsx(_components.a, { href: "https://blog.logto.io/understanding-tokens-in-oidc", children: "Understanding refresh tokens, access tokens, and ID tokens in OIDC protocol" }), "."] }), "\n", _jsxs(_components.p, { children: ["Yllä olevissa skenaarioissa 1 ja 2, termi ", _jsx(_components.em, { children: "autorisointipyyntö" }), " viittaa pyyntöön saada tokenpaketti tietyn ", _jsx(_components.em, { children: "myönnön" }), " kautta."] }), "\n", _jsx(Note, { children: _jsxs(_components.p, { children: ["Vaikka OAuth 2.0 RFC käyttää termiä ", _jsx(_components.em, { children: "myöntö" }), ", käytännössä ihmiset käyttävät usein termiä ", _jsx(_components.em, { children: "virtaus" }), " kuvaamaan yleisempää, end-to-end-prosessia."] }) }), "\n", _jsxs(_components.p, { children: ["Kun kaikki menee hyvin, tokenpaketti palautetaan \"Vaihtaa tokenit käyttämällä ", _jsx(_components.code, { children: "koodi" }), "a\" -vaiheessa. Saatavilla olevat tokenit tokenpaketissa riippuvat useista tekijöistä, erityisesti ", _jsx(_components.code, { children: "scope" }), "-parametrista autorisointipyynnössä. Yksinkertaisuuden vuoksi oletamme, että kaikki tokenit palautetaan paketissa. Kun pääsytoken vanhenee, asiakas voi käyttää päivitystokennia saadakseen uuden tokenpaketin ilman käyttäjän toimintaa."] }), "\n", _jsx(_components.p, { children: "Skenaariossa 3, se on yksinkertaisempaa, koska asiakasvaltuutukset-myynti palauttaa vain pääsytokenin." }), "\n", _jsxs(_components.h3, { id: "useita-kohdeyleisöjä", children: ["Useita kohdeyleisöjä", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#useita-kohdeyleisöjä", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Saatat huomata, että kerrallaan palautetaan vain yksi pääsytokeni. Kuinka voimme käsitellä tapausta, jossa asiakkaan on päästävä useisiin kohdeyleisöihin?" }), "\n", _jsx(_components.p, { children: "On kaksi yleistä ratkaisua:" }), "\n", _jsxs(_components.h4, { id: "määritä-resource-koodinvaihtopyynnössä", children: ["Määritä ", _jsx(_components.code, { children: "resource" }), " koodinvaihtopyynnössä", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#määritä-resource-koodinvaihtopyynnössä", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["Kun asiakas vaihtaa koodia tokeneiksi, se voi määrittää ", _jsx(_components.code, { children: "resource" }), "-parametrin pyynnössä. OIDC-palvelin palauttaa pääsytokenin määritettyyn kohdeyleisöön, jos mahdollista."] }), "\n", _jsx(_components.p, { children: "Tässä ei-normatiivinen esimerkki:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-http", children: "POST /token HTTP/1.1\nHost: oidc-server.example.com\nContent-Type: application/x-www-form-urlencoded\n\ngrant_type=authorization_code\n&code=AUTHORIZATION_CODE\n&client_id=CLIENT_ID\n&client_secret=CLIENT_SECRET\n&resource=API_SERVICE\n" }) }), "\n", _jsxs(_components.p, { children: ["Sitten OIDC-palvelin palauttaa pääsytokenin ", _jsx(_components.code, { children: "API_SERVICE" }), "-yleisöön, jos mahdollista."] }), "\n", _jsxs(_components.h4, { id: "käytä-päivitystokennia-saadaksesi-uuden-pääsytokenin", children: ["Käytä päivitystokennia saadaksesi uuden pääsytokenin", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#käytä-päivitystokennia-saadaksesi-uuden-pääsytokenin", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["RFC 8707:n avulla, asiakas voi jopa määrittää useita kohdeyleisöjä käyttämällä ", _jsx(_components.code, { children: "resource" }), "-parametria useita kertoja. Nyt, jos päivitystokenit ovat käytettävissä asiakkaalla, se voi määrittää kohdeyleisön ", _jsx(_components.code, { children: "resource" }), "-parametrissa, kun päivitettäessä tokeneita."] }), "\n", _jsx(_components.p, { children: "Tässä ei-normatiivinen esimerkki:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-http", children: "POST /token HTTP/1.1\nHost: oidc-server.example.com\nContent-Type: application/x-www-form-urlencoded\n\ngrant_type=refresh_token\n&refresh_token=REFRESH_TOKEN\n&client_id=CLIENT_ID\n&client_secret=CLIENT_SECRET\n&resource=API_SERVICE\n" }) }), "\n", _jsx(_components.p, { children: "Sillä on sama vaikutus kuin edellisellä ratkaisulla. Samalla muut myönnetyt yleisöt ovat edelleen käytettävissä tulevissa tokenpyynnöissä." }), "\n", _jsxs(_components.h4, { id: "asiakasvaltuutukset-myynti", children: ["Asiakasvaltuutukset-myynti", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#asiakasvaltuutukset-myynti", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["Voit myös käyttää ", _jsx(_components.code, { children: "resource" }), "-parametria asiakasvaltuutukset-myynti määrittääksesi kohdeyleisön. Tässä myönnössä ei ole ongelmia useiden yleisöjen kanssa, koska voit aina pyytää uuden pääsytokenin eri kohdeyleisölle yksinkertaisesti lähettämällä uuden tokenpyynnön."] }), "\n", _jsxs(_components.h3, { id: "suojaa-api-palvelusi", children: ["Suojaa API-palvelusi", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#suojaa-api-palvelusi", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "\"API-palvelulla\" skenaariossa 2 ja \"Service B:llä\" skenaariossa 3 on yksi yhteinen piirre: niiden on validointi pääsytoken päättääkseen, onko pyyntö valtuutettu. Riippuen pääsytokenin formaatista, validointiprosessi voi vaihdella." }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Läpinäkymätön tokeni" }), ": API-palvelun on soitettava OIDC-palvelimelle tokenin validointia varten. OIDC-palvelin yleensä tarjoaa ", _jsx(_components.a, { href: "https://blog.logto.io/oauth2-token-introspection", children: "introspektio-päätepiste" }), " tätä tarkoitusta varten."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "JWT" }), ": API-palvelu voi validointi tokenin paikallisesti tarkistamalla allekirjoituksen ja tokenin väitteet. OIDC-palvelin yleensä tarjoaa ", _jsx(_components.a, { href: "https://openid.net/specs/openid-connect-discovery-1_0.html#ProviderMetadata", children: "JSON Web Key Set (JWKS) -päätepiste" }), " (", _jsx(_components.code, { children: "jwks_uri" }), ") API-palvelulle saadakseen julkisen avaimen allekirjoituksen varmistamiseksi."] }), "\n"] }), "\n", _jsxs(_components.p, { children: ["Jos JWT on sinulle uusi, voit viitata ", _jsx(_components.a, { href: "https://blog.logto.io/what-is-jwt", children: "What is JSON Web Token (JWT)?" }), ". Itse asiassa, yleensä ei ole tarpeen validointi allekirjoitusta ja arvioida väittämiä manuaalisesti, koska on monia kirjastoja, jotka voivat tehdä sen puolestasi, kuten ", _jsx(_components.a, { href: "https://github.com/panva/jose", children: "jose" }), " Node.js:lle ja web-selaimille."] }), "\n", _jsxs(_components.h4, { id: "vahvista-väitteet", children: ["Vahvista väitteet", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#vahvista-väitteet", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "JWT-allekirjoituksen validoinnin lisäksi API-palvelun pitäisi aina tarkistaa tokenin väitteet:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "iss" }), ": Tokenin antaja. Sen pitäisi vastata OIDC-palvelimen antajan URL:ää."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "aud" }), ": Tokenin kohdeyleisö. Sen pitäisi vastata API-palvelun kohdeyleisöarvoa (yleensä kelvollinen URI)."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "exp" }), ": Tokenin vanhentumisaika. API-palvelun pitäisi hylätä token, jos se on vanhentunut."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "scope" }), ": Tokenin soveltamisalat (luvat). API-palvelun pitäisi tarkistaa, onko tarvittava soveltamisala tokenissa."] }), "\n"] }), "\n", _jsxs(_components.p, { children: ["Muut väitteet, kuten ", _jsx(_components.code, { children: "sub" }), " (subjekti) ja ", _jsx(_components.code, { children: "iat" }), " (lähetetty), ovat myös tärkeät tietyissä tapauksissa. Jos sinulla on lisäturvatoimenpiteitä, tarkista väitteet vastaavasti."] }), "\n", _jsxs(_components.h2, { id: "autorisointi", children: ["Autorisointi", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#autorisointi", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["Vastaamaton kysymys on edelleen olemassa: Kuinka määritämme, voiko ", _jsx(_components.em, { children: "soveltamisala" }), " (eli lupa) myöntääktorjia subjektille?"] }), "\n", _jsx(_components.p, { children: "Yksittäinen kysymys johtaa kokonaan uuteen autorisoinnin maailmaan, joka on tämän artikkelin ulkopuolella. Lyhyesti sanottuna, on olemassa joitakin yleisiä lähestymistapoja, kuten RBAC (roolipohjainen pääsynhallinta) ja ABAC (attribuuttipohjainen pääsynhallinta). Tässä on joitain resursseja, joista voi aloittaa:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsx(_components.li, { children: _jsx(_components.a, { href: "https://blog.logto.io/rbac-and-abac", children: "RBAC ja ABAC: Pääsynhallintamallit, jotka sinun tulisi tietää" }) }), "\n", _jsx(_components.li, { children: _jsx(_components.a, { href: "https://blog.logto.io/mastering-rbac", children: "Mestaroi RBAC Logtoissa: Kattava reaaliaikainen esimerkki" }) }), "\n"] }), "\n", _jsxs(_components.h2, { id: "lopetushuomautukset", children: ["Lopetushuomautukset", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#lopetushuomautukset", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "OIDC-palvelimen käyttöönotto projektiisi on iso askel. Se voi merkittävästi parantaa projektisi turvallisuutta ja skaalautuvuutta. Samalla voi kestää jonkin aikaa ymmärtää käsitteitä ja komponenttien välisiä vuorovaikutuksia." }), "\n", _jsx(_components.p, { children: "Hyvän OIDC-palveluntarjoajan valitseminen, joka sopii vaatimuksiisi ja mieltymyksiisi, voi huomattavasti vähentää integroinnin monimutkaisuutta, sillä palveluntarjoaja tarjoaa yleensä koko paketin, mukaan lukien OIDC-palvelimen, valtuutusmekanismit, SDK:t ja yritystoiminnot, joita voit tarvita tulevaisuudessa." }), "\n", _jsxs(_components.p, { children: ["Toivottavasti tämä opas auttaa sinua ymmärtämään OIDC-palvelimen integroinnin perusteet. Jos etsit yhtä aloitettavaksi, suosittelen itsekkäästi ", _jsx(_components.a, { href: "https://logto.io", children: "Logtoa" }), ", kehittäjille tarkoitettua identiteetti-infrastruktuuriamme."] }), "\n", _jsx(LogtoCloudButton, {})] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }