"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "kuinka-logton-mukautetut-jwt-vaatimukset-toimivat", "hProperties": { "id": "kuinka-logton-mukautetut-jwt-vaatimukset-toimivat" } }, "depth": 2, "value": "Kuinka Logton mukautetut JWT-vaatimukset toimivat?" }, { "data": { "id": "tehosta-valtuutustasi-mukautetuilla-jwt-vaatimuksilla-käytännön-esimerkki", "hProperties": { "id": "tehosta-valtuutustasi-mukautetuilla-jwt-vaatimuksilla-käytännön-esimerkki" } }, "depth": 2, "value": "Tehosta valtuutustasi mukautetuilla JWT-vaatimuksilla: käytännön esimerkki" }, { "data": { "id": "skenaarion-asetus", "hProperties": { "id": "skenaarion-asetus" } }, "depth": 3, "value": "Skenaarion asetus" }, { "data": { "id": "logto-kokoonpanot", "hProperties": { "id": "logto-kokoonpanot" } }, "depth": 3, "value": "Logto-kokoonpanot" }, { "data": { "id": "tarkista-toimiiko-mukautettu-jwt-ominaisuus", "hProperties": { "id": "tarkista-toimiiko-mukautettu-jwt-ominaisuus" } }, "depth": 3, "value": "Tarkista, toimiiko mukautettu JWT-ominaisuus" }, { "data": { "id": "päivitä-palveluntarjoajan-valtuutuslogiikka", "hProperties": { "id": "päivitä-palveluntarjoajan-valtuutuslogiikka" } }, "depth": 3, "value": "Päivitä palveluntarjoajan valtuutuslogiikka" }, { "data": { "id": "miksi-käyttää-mukautettuja-jwt-vaatimuksia", "hProperties": { "id": "miksi-käyttää-mukautettuja-jwt-vaatimuksia" } }, "depth": 3, "value": "Miksi käyttää mukautettuja JWT-vaatimuksia?" }, { "data": { "id": "johtopäätös", "hProperties": { "id": "johtopäätös" } }, "depth": 2, "value": "Johtopäätös" }]; const readingTime = { "minutes": 6, "words": 1812, "text": "6 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", code: "code", h2: "h2", h3: "h3", li: "li", ol: "ol", p: "p", pre: "pre", span: "span", ul: "ul", ..._provideComponents(), ...props.components }, {Info, LogtoCloudButton, Note} = _components; if (!Info) _missingMdxReference("Info", true); if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); if (!Note) _missingMdxReference("Note", true); return _jsxs(_Fragment, { children: [_jsx(_components.p, { children: "Aikaisemmissa artikkeleissa mainitsimme, että yhä useammat järjestelmät käyttävät JWT-muotoisia käyttötunnuksia käyttäjän todennukseen ja pääsynhallintaan. Yksi tärkeimmistä syistä tähän on, että JWT voi sisältää hyödyllistä tietoa, kuten käyttäjän roolit ja oikeudet. Tämä tieto voi auttaa siirtämään käyttäjätietoja palvelimen ja asiakkaan välillä, mikä mahdollistaa käyttäjän todennuksen ja pääsynhallinnan." }), "\n", _jsxs(_components.p, { children: ["Yleensä JWT:n sisältämä tieto määräytyy todennuspalvelimen mukaan. OAuth 2.0 -protokollan mukaan JWT sisältää yleensä kenttiä kuten ", _jsx(_components.code, { children: "sub" }), " (kohde), ", _jsx(_components.code, { children: "aud" }), " (yleisö) ja ", _jsx(_components.code, { children: "exp" }), " (vanhenemisaika), joita kutsutaan usein vaatimuksiksi. Nämä vaatimukset voivat auttaa tarkistamaan käyttötunnuksen pätevyyden."] }), "\n", _jsx(_components.p, { children: "Kuitenkin on lukemattomia skenaarioita, joissa JWT:ta käytetään tietojen tarkistamiseen, ja tavalliset JWT-vaatimukset eivät usein vastaa käyttäjän tarpeita. Ihmiset usein ajattelevat, että koska JWT voi sisältää tietoa, voimmeko lisätä siihen tietoa helpottaaksemme valtuutusta?" }), "\n", _jsx(_components.p, { children: "Vastaus on KYLLÄ, voimme lisätä mukautettuja vaatimuksia JWT:hen, kuten nykyisen käyttäjän laajuuden ja tilausluokan. Tällä tavalla voimme siirtää käyttäjätietoja asiakkaan ja palvelimen välillä (tässä viittaa palvelimeen, joka tarjoaa erilaisia palveluita, myös nimeltään palveluntarjoaja), saavuttaaksemme käyttäjän todennuksen ja pääsynhallinnan." }), "\n", _jsxs(_components.p, { children: ["Katso standardit JWT-vaatimukset kohdassa ", _jsx(_components.a, { href: "https://datatracker.ietf.org/doc/html/rfc7519", children: "RFC7519" }), ". Logto, identiteettiratkaisu, joka tukee sekä todennusta että valtuutusta, on laajentanut resurssi- ja laajuusvaatimuksia tukeakseen standardia ", _jsx(_components.a, { href: "https://docs.logto.io/docs/recipes/rbac/", children: "RBAC" }), ". Vaikka Logton RBAC-toteutus on standardi, se ei ole tarpeeksi yksinkertainen ja joustava katkaisemaan kaikki käyttötapaukset."] }), "\n", _jsx(_components.p, { children: "Tämän pohjalta Logto julkaisi uuden ominaisuuden mukautettujen JWT-vaatimusten muokkaamiseksi, mikä sallii käyttäjien muokata ylimääräisiä JWT-vaatimuksia, jotta käyttäjän todennus ja pääsynhallinta voidaan toteuttaa joustavammin." }), "\n", _jsx(LogtoCloudButton, {}), "\n", _jsxs(_components.h2, { id: "kuinka-logton-mukautetut-jwt-vaatimukset-toimivat", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#kuinka-logton-mukautetut-jwt-vaatimukset-toimivat", children: _jsx(_components.span, { children: "#" }) }), "Kuinka Logton mukautetut JWT-vaatimukset toimivat?"] }), "\n", _jsx(_components.p, { children: "Voit siirtyä Custom JWT -listauksen sivulle klikkaamalla \"JWT claims\" -painiketta sivupalkista." }), "\n", _jsx("center", { children: _jsx("img", { alt: "custom-jwt-listing-page", src: "https://uploads.strapi.logto.io/1/custom_jwt_listing_page_f56a88c98f.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Aloitetaan lisäämällä mukautettuja vaatimuksia loppukäyttäjille." }), "\n", _jsxs(_components.p, { children: ["Vasemmalla puolella olevassa editorissa voit muokata omaa ", _jsx(_components.code, { children: "getCustomJwtClaims" }), "-funktiotasi. Tämä menetelmä sisältää kolme syöteparametria: ", _jsx(_components.code, { children: "token" }), ", ", _jsx(_components.code, { children: "data" }), " ja ", _jsx(_components.code, { children: "envVariables" }), "."] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "token" }), " on raakakäyttötunnuksen hyötykuorma, joka on saatu nykyisen loppukäyttäjän todennustiedoista ja järjestelmäsi kokoonpanosta, sekä Logton käyttäjän pääsyyn liittyvistä tiedoista."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "data" }), " on kaikki Logtoon liittyvät tiedot käyttäjästä, mukaan lukien kaikki käyttäjän roolit, sosiaaliset kirjautumistunnukset, SSO-tunnukset, organisaatiojäsenyydet jne."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "envVariables" }), " ovat ympäristömuuttujat, jotka olet määrittänyt Logtossa nykyisen loppukäyttäjän käyttötunnuksen käyttötilanteeseen, kuten tarvittavat API-avaimet ulkoisiin API:hin jne."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "details-page-user-data", src: "https://uploads.strapi.logto.io/1/details_page_user_data_a92388f24a.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Oikealla olevat kortit voidaan laajentaa näyttämään vastaavien parametrien esittely, ja voit myös asettaa ympäristömuuttujat nykyiseen tilanteeseen täällä." }), "\n", _jsx("center", { children: _jsx("img", { alt: "details-page-user-test", src: "https://uploads.strapi.logto.io/1/details_page_user_test_93932f6e66.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Kun olet lukenut kaikista oikealla olevista korteista, voit siirtyä testitilaan, jossa voit muokata testitietoja ja käyttää muokattuja testitietoja tarkistaaksesi, täyttääkö kirjoittamasi koodin editorissa vasemmalla kirjoittamasi koodi odotuksesi." }), "\n", _jsxs(_components.p, { children: ["Tässä on sekvenssikaavio, joka näyttää ", _jsx(_components.code, { children: "getCustomJwtClaims" }), "-funktion suoritusprosessin, kun loppukäyttäjä aloittaa todennuspyynnön Logtossa ja lopulta saa Logton palauttamana JWT-muotoisen käyttötunnuksen."] }), "\n", _jsxs(_components.p, { children: ["Jos Custom JWT -ominaisuutta ei ole otettu käyttöön, vaihe 3 kaaviossa ohitetaan ja vaihe 4 suoritetaan heti, kun vaihe 2 päättyy. Tässä vaiheessa Logto olettaa ", _jsx(_components.code, { children: "getCustomJwtClaims" }), "-palautusarvon olevan tyhjä objekti ja jatkaa sitten seuraavien vaiheiden läpikäyntiä."] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n participant U as User or user agent\n participant IdP as Logto (identity provider)\n participant SP as Service Provider\n\n autonumber\n U ->> IdP: Auth request (with credentials)\n activate IdP\n IdP-->>IdP: Validate credentials &
generate raw access token payload\n rect rgb(191, 223, 255)\n note over IdP: Custom JWT\n IdP->>IdP: Run custom JWT claims script (`getCustomJwtClaims`) &
get extra JWT claims\n end\n IdP-->>IdP: Merge raw access token payload and extra JWT claims\n IdP-->>IdP: Sign & encrypt payload to get JWT access token\n deactivate IdP\n IdP-->>U: Issue JWT-format access token\n par Get service via API\n U->>SP: service request (with JWT access token)\n SP-->>U: service response\n end\n" }) }), "\n", _jsx(Note, { children: _jsxs(_components.p, { children: ["Turvallisuussyistä, jos Logton ", _jsx(_components.code, { children: "getCustomJwtClaims" }), "-funktion palauttamat JWT-vaatimukset ovat\njo olemassa käyttötunnuksen hyötykuormassa, nämä vaatimukset EIVÄT paneudu käytäntöön eikä ne\nvoi ohittaa olemassa olevia vaatimuksia."] }) }), "\n", _jsxs(_components.h2, { id: "tehosta-valtuutustasi-mukautetuilla-jwt-vaatimuksilla-käytännön-esimerkki", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#tehosta-valtuutustasi-mukautetuilla-jwt-vaatimuksilla-käytännön-esimerkki", children: _jsx(_components.span, { children: "#" }) }), "Tehosta valtuutustasi mukautetuilla JWT-vaatimuksilla: käytännön esimerkki"] }), "\n", _jsx(_components.p, { children: "Edellisessä osassa esittelimme Logton mukautetun JWT:n toimintaperiaatteen. Tässä osassa näytämme, kuinka käyttää Logton mukautettuja JWT-vaatimuksia parantaaksesi valtuutuksen joustavuutta ja palveluntarjoajan suorituskykyä todellisen esimerkin kautta." }), "\n", _jsxs(_components.h3, { id: "skenaarion-asetus", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#skenaarion-asetus", children: _jsx(_components.span, { children: "#" }) }), "Skenaarion asetus"] }), "\n", _jsx(_components.p, { children: "Johnin tiimi kehitti tekoälyavustajasovelluksen, joka mahdollistaa käyttäjien keskustella tekoälyrobottien kanssa saadakseen erilaisia palveluita." }), "\n", _jsx(_components.p, { children: "Tekoälyrobottipalvelut jaetaan ilmaisiin ja maksullisiin palveluihin. Ilmaisiin palveluihin kuuluvat erityiset lentotarjoukset, kun taas maksullisiin palveluihin kuuluvat osakeennusteet." }), "\n", _jsx(_components.p, { children: "Tekoälyavustajasovellus käyttää Logtoa hallitsemaan kaikkia käyttäjiä, jotka on jaettu kolmeen tyyppiin: ilmaiskäyttäjät, etukäteen maksavat käyttäjät ja premium-käyttäjät. Ilmaiskäyttäjät voivat käyttää vain ilmaisia palveluja, etukäteen maksavat käyttäjät voivat käyttää kaikkia palveluita (käytön mukaan veloitettuna) ja premium-käyttäjät voivat käyttää kaikkia palveluita (mutta niillä on nopeusrajoituksia estääkseen väärinkäytön)." }), "\n", _jsx(_components.p, { children: "Lisäksi tekoälyavustajasovellus käyttää Stripe-palvelua käyttäjämaksujen hallintaan ja sillä on oma lokipalvelu käyttäjätoimintalokkien tallentamiseen." }), "\n", _jsxs(_components.h3, { id: "logto-kokoonpanot", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#logto-kokoonpanot", children: _jsx(_components.span, { children: "#" }) }), "Logto-kokoonpanot"] }), "\n", _jsxs(_components.p, { children: ["Luomme ensin API-resurssit tekoälyavustajasovelluksen palvelulle ja luomme kaksi laajuutta, ", _jsx(_components.code, { children: "recommend:flight" }), " ja ", _jsx(_components.code, { children: "predict:stock" }), "."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "ai-assistant-app-resource", src: "https://uploads.strapi.logto.io/1/ai_assistant_app_resource_e3c2ee0f03.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Sitten luomme kaksi ", _jsx(_components.code, { children: "roolia" }), ", ", _jsx(_components.code, { children: "free-user" }), " ja ", _jsx(_components.code, { children: "paid-user" }), ", ja annamme niille vastaavat laajuudet:"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: ["Anna ", _jsx(_components.code, { children: "recommend:flight" }), "-laajuus ", _jsx(_components.code, { children: "free-user" }), "-roolille."] }), "\n", _jsxs(_components.li, { children: ["Anna sekä ", _jsx(_components.code, { children: "recommend:flight" }), " että ", _jsx(_components.code, { children: "predict:stock" }), "-laajuudet ", _jsx(_components.code, { children: "paid-user" }), "-roolille."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "free-user-role", src: "https://uploads.strapi.logto.io/1/free_user_role_153a0277ba.webp", width: "800" }) }), "\n", _jsx("center", { children: _jsx("img", { alt: "paid-user-role", src: "https://uploads.strapi.logto.io/1/paid_user_role_d2fa9f5db6.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Lopuksi luomme kolme käyttäjää, ", _jsx(_components.code, { children: "free-user" }), ", ", _jsx(_components.code, { children: "prepaid-user" }), " ja ", _jsx(_components.code, { children: "premium-user" }), ", ja annamme heille vastaavat roolit:"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: ["Anna ", _jsx(_components.code, { children: "free-user" }), "-rooli käyttäjälle ", _jsx(_components.code, { children: "free-user" }), "."] }), "\n", _jsxs(_components.li, { children: ["Anna ", _jsx(_components.code, { children: "paid-user" }), "-rooli käyttäjille ", _jsx(_components.code, { children: "prepaid-user" }), " ja ", _jsx(_components.code, { children: "premium-user" }), "."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "assign-free-user-role", src: "https://uploads.strapi.logto.io/1/assign_free_user_role_f7d37cb5c9.webp", width: "800" }) }), "\n", _jsx("center", { children: _jsx("img", { alt: "assign-paid-user-role", src: "https://uploads.strapi.logto.io/1/assign_paid_user_role_2dbfd74d6e.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Kuten alla olevassa kuvassa näkyy, voidaksemme toteuttaa edellä mainitun skenaarion vaatimaan valtuutustiedon, haluamme sisällyttää JWT:hen nykyisen sisäänkirjautuneen käyttäjän ", _jsx(_components.code, { children: "roles" }), ", ", _jsx(_components.code, { children: "balance" }), " ja ", _jsx(_components.code, { children: "numOfCallsToday" }), " -tiedot. Kun tarkistetaan käyttötunnus tekoälyavustajasovelluksessa, nämä tiedot voivat auttaa suorittamaan nopean käyttöoikeuksien tarkistuksen."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "test-custom-jwt-claims", src: "https://uploads.strapi.logto.io/1/test_custom_jwt_claims_3fcd4c2004.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Kun ", _jsx(_components.code, { children: "envVariables" }), " on määritetty, toteutamme ", _jsx(_components.code, { children: "getCustomJwtClaims" }), "-funktion ja klikkaamme \"Run test\"-painiketta nähdäksesi nykyisten testitietojen perusteella saadun ylimääräisten JWT-vaatimusten tuloksen."] }), "\n", _jsxs(_components.p, { children: ["Koska emme ole määrittäneet testitietoja ", _jsx(_components.code, { children: "data.user.roles" }), " :lle, ", _jsx(_components.code, { children: "roles" }), " tulos näytetään tyhjänä listana."] }), "\n", _jsxs(_components.h3, { id: "tarkista-toimiiko-mukautettu-jwt-ominaisuus", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#tarkista-toimiiko-mukautettu-jwt-ominaisuus", children: _jsx(_components.span, { children: "#" }) }), "Tarkista, toimiiko mukautettu JWT-ominaisuus"] }), "\n", _jsxs(_components.p, { children: ["Edellä esitellyn Logton konfiguraation mukaan saimme vastaavat tulokset testissä. Seuraavaksi käytämme Logton tarjoamaa esimerkkisovellusta tarkistaaksemme, onko mukautettu JWT tehokas. Etsi SDK, jonka kanssa olet tuttu, ", _jsx(_components.a, { href: "https://docs.logto.io/sdk/", children: "Logton SDK:t" }), " ja ota käyttöön esimerkkisovellus dokumentaation ja vastaavan GitHub-repon avulla."] }), "\n", _jsxs(_components.p, { children: ["Kuvaillun kokoonpanon perusteella, käyttäen esimerkiksi ", _jsx(_components.a, { href: "https://docs.logto.io/sdk/react/", children: "React SDK:ta" }), ", meidän on päivitettävä vastaava kokoonpano LogtoConfig:ssa:"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "import { LogtoProvider, LogtoConfig, UserScope } from '@logto/react';\n\nconst config: LogtoConfig = {\n appId,\n endpoint,\n scopes: [\n UserScope.Email,\n UserScope.Phone,\n UserScope.CustomData,\n UserScope.Identities,\n UserScope.Organizations,\n \"recommend:flight\",\n \"predict:stock\",\n ],\n resources: [\"https://api.aiassistant.app/v1\"]\n};\n\nconst App = () => (\n \n \n \n);\n" }) }), "\n", _jsxs(_components.p, { children: ["Kun ", _jsx(_components.code, { children: "free_user" }), "-käyttäjä kirjautuu tekoälyavustajasovellusta simuloivaan esimerkkisovellukseen, voimme nähdä JWT-käyttötunnuksen hyötykuormassa lisäämämme tiedot ", _jsx(_components.code, { children: "roles" }), ", ", _jsx(_components.code, { children: "balance" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " ja ", _jsx(_components.code, { children: "isPremiumUser" }), "."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "sample-app-access-token-preview-free", src: "https://uploads.strapi.logto.io/1/sample_app_access_token_preview_free_117a8594c8.webp", width: "400" }) }), "\n", _jsxs(_components.p, { children: ["Tiedot ", _jsx(_components.code, { children: "balance" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " ja ", _jsx(_components.code, { children: "isPremiumUser" }), " ovat aiemman testin mukaisia, ja ", _jsx(_components.code, { children: "roles" }), " on ", _jsx(_components.code, { children: "[\"free-user\"]" }), ". Tämä johtuu siitä, että todellisessa loppukäyttäjän kirjautumisprosessissa saamme kaikki käyttäjän käytettävissä olevat tiedot ja käsittelemme ne vastaavasti."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "sample-app-access-token-preview-premium", src: "https://uploads.strapi.logto.io/1/sample_app_access_token_preview_premium_673f6f3db1.webp", width: "400" }) }), "\n", _jsxs(_components.p, { children: ["Premium-käyttäjille voimme nähdä, että ", _jsx(_components.code, { children: "roles" }), " on ", _jsx(_components.code, { children: "[\"paid-user\"]" }), " ja sekä ", _jsx(_components.code, { children: "isPaidUser" }), " että ", _jsx(_components.code, { children: "isPremiumUser" }), " ovat ", _jsx(_components.code, { children: "true" }), "."] }), "\n", _jsxs(_components.h3, { id: "päivitä-palveluntarjoajan-valtuutuslogiikka", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#päivitä-palveluntarjoajan-valtuutuslogiikka", children: _jsx(_components.span, { children: "#" }) }), "Päivitä palveluntarjoajan valtuutuslogiikka"] }), "\n", _jsx(_components.p, { children: "Aikaisemmissa vaiheissa lisäsimme liiketoiminnan tarpeisiin perustuvia mukautettuja vaatimuksia käyttäjän käyttötunnukseen. Seuraavaksi voimme käyttää näitä vaatimuksia suorittaaksemme nopean valtuutuksen tarkistuksen." }), "\n", _jsxs(Note, { children: [_jsx(_components.p, { children: "On tärkeää huomata, että emme suosittele luottamaan täysin mukautettuihin vaatimuksiin valtuutuksen tarkistamisessa." }), _jsx(_components.p, { children: "Koska RBAC:n toteutus noudattaa vähimmäisoikeuksien periaatetta, turvallisuuden takaamiseksi mukautettujen vaatimusten avulla tehtävä tarkistus tulisi olla lisä- tai tukivarmistus RBAC:iin perustuen. Tästä seuraa, että käyttäjävaltuutusten laajuuden laajeneminen voidaan välttää ylimääräisten mukautettujen vaatimusten vuoksi." })] }), "\n", _jsxs(_components.p, { children: ["Tässä annamme Logton logiikan JWT-käyttötunnuksien tarkistamiseen API:n puolella. Kokonainen koodin toteutus löytyy ", _jsx(_components.a, { href: "https://github.com/logto-io/logto/blob/master/packages/core/src/middleware/koa-auth/index.ts", children: "GitHub-reposta" }), ":"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "import type { IncomingHttpHeaders } from 'node:http';\n\nimport { createLocalJWKSet, jwtVerify, type JWK } from 'jose';\n\nconst extractBearerTokenFromHeaders = (\n { authorization }: IncomingHttpHeaders\n) => {\n const bearerTokenIdentifier = 'Bearer';\n\n assertThat(\n authorization,\n new RequestError({\n code: 'auth.authorization_header_missing',\n status: 401\n })\n );\n assertThat(\n authorization.startsWith(bearerTokenIdentifier),\n new RequestError(\n { code: 'auth.authorization_token_type_not_supported', status: 401 },\n { supportedTypes: [bearerTokenIdentifier] }\n )\n );\n\n return authorization.slice(bearerTokenIdentifier.length + 1);\n};\n\nconst verifyBearerTokenFromRequest = async (\n publicJwks: JWT;\n issuer: string,\n request: Request,\n audience: Optional\n): Promise => {\n try {\n // Get the public JWKs and issuer.\n const [keys, issuer] = await getKeysAndIssuer();\n const { payload } = await jwtVerify(\n extractBearerTokenFromHeaders(request.headers),\n createLocalJWKSet({ keys }),\n {\n issuer,\n audience,\n }\n );\n\n const { sub, client_id: clientId, scope = '' } = payload;\n assertThat(sub,\n new RequestError({ code: 'auth.jwt_sub_missing', status: 401 }));\n\n return { sub, clientId, scopes: z.string().parse(scope).split(' ') };\n } catch (error: unknown) {\n if (error instanceof RequestError) {\n throw error;\n }\n\n throw new RequestError(\n { code: 'auth.unauthorized', status: 401 },\n error\n );\n }\n};\n" }) }), "\n", _jsxs(_components.p, { children: ["Voit viitata Logton API:n logiikkaan käyttötunnusten tarkistamisessa ja mukauttaa sitä oman liiketoimintasi logiikan mukaan. Esimerkiksi täällä kuvatussa tekoälyavustajasovelluksen skenaariossa voit lisätä tarkistuslogiikan mukautettuja vaatimuksia, kuten ", _jsx(_components.code, { children: "roles" }), ", ", _jsx(_components.code, { children: "balance" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " ja ", _jsx(_components.code, { children: "isPremiumUser" }), " ", _jsx(_components.code, { children: "verifyBearerTokenFromRequest" }), "-funktiossa."] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "const verifyBearerTokenFromRequest = async (\n publicJwks: JWT;\n issuer: string,\n request: Request,\n audience: Optional\n): Promise => {\n try {\n // Get the public JWKs and issuer.\n const [keys, issuer] = await getKeysAndIssuer();\n const { payload } = await jwtVerify(\n extractBearerTokenFromHeaders(request.headers),\n createLocalJWKSet({ keys }),\n {\n issuer,\n audience,\n }\n );\n\n const {\n sub,\n client_id: clientId,\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser,\n scope = ''\n } = payload;\n assertThat(sub,\n new RequestError({ code: 'auth.jwt_sub_missing', status: 401 }));\n\n return {\n sub,\n clientId,\n scopes: z.string().parse(scope).split(' '),\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser\n };\n } catch (error: unknown) {\n if (error instanceof RequestError) {\n throw error;\n }\n\n throw new RequestError({ code: 'auth.unauthorized', status: 401 }, error);\n }\n};\n\nconst authorizeBearerTokenPayload = (\n payload: Payload,\n requiredScopes: string[],\n requiredRoles: string[]\n): void => {\n const {\n scope,\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser\n } = payload;\n const scopes: string[] = scope.split(' ');\n\n // RBAC validation.\n /**\n * `free-user` does not have the `predict:stock` scope, so if the API requires\n * the `predict:stock` scope, the request will be rejected directly.\n */\n assertThat(\n requiredScopes.every((scope) => payload.scopes.includes(scope)),\n new RequestError(\n { code: 'auth.insufficient_scope', status: 403 },\n { requiredScopes })\n );\n\n /** Validation on extra claims in the `payload`. */\n assertThat(\n roles.includes('paid-user') && isPaidUser,\n new RequestError({ code: 'auth.role_mismatch', status: 403 }));\n // Supporse the daily call limit is 100.\n assertThat(\n numOfCallsToday < 100,\n new RequestError({ code: 'auth.rate_limit_exceeded', status: 403 }));\n // No need to check the `balance` of premium users.\n if (isPremiumUser) {\n return;\n }\n // Can access the service only when the balance is positive.\n assertThat(\n balance > 0,\n new RequestError({ code: 'auth.balance_insufficient', status: 403 }));\n /** Validation on extra claims in the `payload`. */\n};\n" }) }), "\n", _jsx(_components.p, { children: "Yllä oleva esimerkki koskee skenaariota, jossa se vaikuttaa loppukäyttäjän kirjautumiseen ja JWT-käyttötunnuksen saamiseen. Jos käyttötapauksesi on koneiden välinen (M2M), voit myös määrittää erikseen mukautetut JWT-vaatimukset M2M-sovelluksille." }), "\n", _jsx(_components.p, { children: "Käyttäjille mukautettujen JWT-konfiguraatioiden asettaminen ei vaikuta M2M-sovellusten käyttötunnusten saamiseen, ja päinvastoin." }), "\n", _jsxs(_components.p, { children: ["M2M-yhteyksien yleisyyden vuoksi Logto ei tällä hetkellä tarjoa ", _jsx(_components.code, { children: "getCustomJwtClaims" }), "-menetelmän toimintoa M2M-sovelluksille vastaanottaa sisäistä tietoa Logtosta. Muissa asioissa M2M-sovellusten mukautettujen JWT:n konfiguraatiomenetelmä on sama kuin käyttäjäsovelluksilla. Tämä artikkeli ei käy niitä läpi. Voit käyttää Logton mukautettua JWT-toimintoa päästäksesi alkuun."] }), "\n", _jsxs(_components.h3, { id: "miksi-käyttää-mukautettuja-jwt-vaatimuksia", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#miksi-käyttää-mukautettuja-jwt-vaatimuksia", children: _jsx(_components.span, { children: "#" }) }), "Miksi käyttää mukautettuja JWT-vaatimuksia?"] }), "\n", _jsx(_components.p, { children: "Olemme esitelleet Johnin tekoälyavustajasovelluksen skenaarion ja kuinka käyttää Logton mukautettua JWT-ominaisuutta saavuttaaksemme joustavamman valtuutuksen tarkistuksen. Tässä prosessissa voimme nähdä mukautetun JWT-ominaisuuden edut:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: ["Ilman mukautettua JWT ominaisuutta, käyttäjien täytyy pyytää ulkoista API:a (kuten mitä teet ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " -metodissa) joka kerta tarkistaessaan oikeuksia. Tämän API:n tarjoavalle palveluntarjoajalle tämä voi lisätä ylimääräistä rasitusta. Mukautetun JWT-ominaisuuden avulla nämä tiedot voidaan laittaa suoraan JWT:hen, mikä vähentää ulkoisen API:n usein toistuvia kutsuja."] }), "\n", _jsx(_components.li, { children: "Palveluntarjoajille mukautettu JWT-ominaisuus voi auttaa heitä tarkistamaan käyttäjien käyttöoikeudet nopeammin, erityisesti silloin, kun asiakas kutsuu palveluntarjoajaa usein, parantaen palvelun suorituskykyä." }), "\n", _jsx(_components.li, { children: "Mukautettu JWT-ominaisuus voi auttaa sinua nopeasti toteuttamaan liiketoiminnan edellyttämiä ylimääräisiä valtuutustietoja, ja tiedot voidaan siirtää asiakkaan ja palveluntarjoajan välillä turvallisella tavalla, koska JWT on itsenäinen ja voidaan salata, joten sen väärennystä on vaikea tehdä." }), "\n"] }), "\n", _jsx(Info, { children: _jsx(_components.p, { children: "On tärkeää huomata, että kuten mainitsimme aiemmassa blogikirjoituksessa, kerran myönnetty JWT-käyttötunnus ei muutu\nvoimassaoloaikanaan. Siksi mukautetuissa JWT-vaatimuksissa mukana olevan tiedon\ntulee olla sidottu todellisiin liiketoimintatarpeisiin, ja siinä tulisi välttää tiedoa,\njoka on tärkeää valtuutuksessa mutta muuttuu voimakkaasti käyttötunnuksen\nvoimassaoloaikana." }) }), "\n", _jsxs(_components.p, { children: ["Samalla, koska ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " suoritetaan joka kerta, kun käyttäjä tarvitsee Logton myöntävän käyttötunnuksen, on välttämätöntä välttää liian monimutkaisen logiikan ja suuria kaistavaatimuksia omaavien ulkoisten API pyyntöjen suorittamista. Muutoin loppukäyttäjien voi joutua odottamaan liian kauan ", _jsx(_components.code, { children: "getCustomJwtClaims" }), "-tulosta kirjautumisprosessin aikana. Jos ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " palauttaa tyhjän objektin, suosittelemme vahvasti poistamaan tämän kokoonpanokohdan toistaiseksi, kunnes todella tarvitset sitä."] }), "\n", _jsxs(_components.h2, { id: "johtopäätös", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#johtopäätös", children: _jsx(_components.span, { children: "#" }) }), "Johtopäätös"] }), "\n", _jsx(_components.p, { children: "Tässä artikkelissa Logto on laajentanut perus JWT-käyttötunnusta ja laajentanut ylimääräisten JWT-vaatimusten ominaisuutta, jotta käyttäjät voivat laittaa lisätietoja loppukäyttäjän tietoja JWT-käyttötunnukseen tarpeidensa mukaan, jotta käyttäjän kirjautuessa sisään, käyttäjän oikeudet voidaan nopeammin varmistaa." }), "\n", _jsx(_components.p, { children: "Tarjoamme Johnin tekoälyavustajasovelluksen skenaarion ja näytämme kuinka käyttää Logton mukautettua JWT-ominaisuutta saavuttaaksemme joustavamman valtuutuksen tarkistuksen. Tuomme esiin myös joitain mukautettujen JWT:n käyttöä koskevia keskeisiä kohtia. Yhdistämällä liiketoiminnan tilanteita käyttäjät voivat liittää erilaisia käyttäjäkohtaisia tietoja JWT-käyttötunnukseen tarpeidensa mukaan, jolloin palveluntarjoaja voi nopeasti varmistaa käyttäjän käyttöoikeudet." }), "\n", _jsx(LogtoCloudButton, {})] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }