Ajoutez des revendications personnalisées pour les jetons d'accès JWT avec Logto pour améliorer votre autorisation
Dans cet article, nous allons introduire comment utiliser la fonctionnalité des revendications personnalisées JWT de Logto pour améliorer la flexibilité de l'autorisation et la performance du fournisseur de services à travers un exemple concret.
Developer
Dans des articles précédents, nous avons mentionné que de plus en plus de systèmes utilisent des jetons d'accès au format JWT pour l'authentification et le contrôle d'accès des utilisateurs. L'une des raisons importantes de cela est que le JWT peut contenir certaines informations utiles, telles que les rôles et les permissions des utilisateurs. Ces informations peuvent nous aider à faire passer les informations d'identité des utilisateurs entre le serveur et le client, permettant ainsi une authentification et un contrôle d'accès des utilisateurs.
Habituellement, les informations contenues dans le JWT sont déterminées par le serveur d'authentification. Selon le protocole OAuth 2.0, le JWT contient généralement des champs tels que sub (sujet), aud (auditoire) et exp (date d'expiration), que l'on appelle communément des revendications. Ces revendications peuvent aider à vérifier la validité du jeton d'accès.
Cependant, il existe d'innombrables scénarios où le JWT est utilisé pour la vérification, et les revendications JWT courantes peuvent souvent ne pas répondre aux besoins des utilisateurs. Les gens pensent souvent que puisque le JWT peut contenir certaines informations, ne pourrait-on pas ajouter quelques informations supplémentaires pour faciliter l'autorisation ?
La réponse est OUI, nous pouvons ajouter des revendications personnalisées au JWT, telles que le champ d'application et le niveau d'abonnement de l'utilisateur actuel. De cette manière, nous pouvons faire passer les informations d'identité des utilisateurs entre le client et le serveur (ici se référant au serveur qui fournit divers services, également appelé fournisseur de services), pour réaliser l'authentification et le contrôle d'accès des utilisateurs.
Pour les revendications JWT standard, veuillez vous référer à RFC7519. Logto, en tant que solution d'identité qui prend en charge à la fois l'authentification et l'autorisation, a étendu les revendications de ressources et de champ d'application sur cette base pour prendre en charge le RBAC standard. Bien que la mise en œuvre du RBAC par Logto soit standard, elle n'est pas suffisamment simple et flexible pour s'adapter à tous les cas d'utilisation.
Sur cette base, Logto a lancé une nouvelle fonctionnalité de personnalisation des revendications JWT, qui permet aux utilisateurs de personnaliser des revendications JWT supplémentaires, afin que l'authentification et le contrôle d'accès des utilisateurs puissent être mis en œuvre de manière plus flexible.
Comment fonctionnent les revendications JWT personnalisées de Logto ?
Vous pouvez accéder à la page de liste des JWT personnalisés en cliquant sur le bouton "JWT claims" dans la barre latérale.
Commençons par ajouter des revendications personnalisées pour les utilisateurs finaux.
Dans l'éditeur sur la gauche, vous pouvez personnaliser votre fonction getCustomJwtClaims. Cette méthode a trois paramètres d'entrée : token, data, et envVariables.
tokenest le payload brut du jeton d'accès obtenu en fonction des identifiants de l'utilisateur actuel et de la configuration de votre système, ainsi que des informations relatives à l'accès de l'utilisateur dans Logtodataest toute l'information sur l'utilisateur dans Logto, y compris tous les rôles de l'utilisateur, les identités de connexion sociale, les identités SSO, les appartenances à des organisations, etc.envVariablessont les variables d'environnement que vous avez configurées dans Logto pour le scénario d'utilisation des jetons d'accès de l'utilisateur actuel, telles que la ou les clés API des API externes requises, etc.
Les cartes sur la droite peuvent être agrandies pour montrer l'introduction des paramètres correspondants, et vous pouvez également définir ici les variables d'environnement pour le scénario actuel.
Après avoir lu les introductions de toutes les cartes sur la droite, vous pouvez passer en mode test, où vous pouvez éditer les données de test et utiliser les données de test éditées pour vérifier si le comportement du script que vous avez écrit dans l'éditeur de code sur la gauche répond à vos attentes.
Voici un diagramme de séquence montrant le processus d'exécution de la fonction getCustomJwtClaims lorsqu'un utilisateur final initie une demande d'authentification à Logto et obtient finalement le jeton d'accès au format JWT renvoyé par Logto.
Si la fonctionnalité JWT personnalisé n'est pas activée, l'étape 3 dans le schéma sera sautée et l'étape 4 sera exécutée juste après la fin de l'étape 2. À ce moment-là, Logto supposera que la valeur de retour de getCustomJwtClaims est un objet vide, puis continuera de suivre les étapes suivantes.
' y='210' x='203'/%3e%3cg%3e%3crect class='actor actor-bottom' ry='3' rx='3' name='SP' height='65' width='190' stroke='%23666' fill='%23eaeaea' y='755' x='778'/%3e%3ctext style='text-anchor: middle%3b font-size: 16px%3b font-weight: 400%3b font-family: arial%2c sans-serif%3b' class='actor actor-box' alignment-baseline='central' dominant-baseline='central' y='787.5' x='873'%3e%3ctspan dy='0' x='873'%3eFournisseur de services%3c/tspan%3e%3c/text%3e%3c/g%3e%3cg%3e%3crect class='actor actor-bottom' ry='3' rx='3' name='IdP' height='65' width='222' stroke='%23666' fill='%23eaeaea' y='755' x='397.5'/%3e%3ctext style='text-anchor: middle%3b font-size: 16px%3b font-weight: 400%3b font-family: arial%2c sans-serif%3b' class='actor actor-box' alignment-baseline='central' dominant-baseline='central' y='787.5' x='508.5'%3e%3ctspan dy='0' x='508.5'%3eLogto (fournisseur d'identit%c3%a9)%3c/tspan%3e%3c/text%3e%3c/g%3e%3cg%3e%3crect class='actor actor-bottom' ry='3' rx='3' name='U' height='65' width='231' stroke='%23666' fill='%23eaeaea' y='755' x='0'/%3e%3ctext style='text-anchor: middle%3b font-size: 16px%3b font-weight: 400%3b font-family: arial%2c sans-serif%3b' class='actor actor-box' alignment-baseline='central' dominant-baseline='central' y='787.5' x='115.5'%3e%3ctspan dy='0' x='115.5'%3eUtilisateur ou agent utilisateur%3c/tspan%3e%3c/text%3e%3c/g%3e%3cg%3e%3cline name='SP' stroke='%23999' stroke-width='0.5px' class='actor-line 200' y2='755' x2='873' y1='65' x1='873' id='actor2'/%3e%3cg id='root-2'%3e%3crect class='actor actor-top' ry='3' rx='3' name='SP' height='65' width='190' stroke='%23666' fill='%23eaeaea' y='0' x='778'/%3e%3ctext style='text-anchor: middle%3b font-size: 16px%3b font-weight: 400%3b font-family: arial%2c sans-serif%3b' class='actor actor-box' alignment-baseline='central' dominant-baseline='central' y='32.5' x='873'%3e%3ctspan dy='0' x='873'%3eFournisseur de services%3c/tspan%3e%3c/text%3e%3c/g%3e%3c/g%3e%3cg%3e%3cline name='IdP' stroke='%23999' stroke-width='0.5px' class='actor-line 200' y2='755' x2='508.5' y1='65' x1='508.5' id='actor1'/%3e%3cg id='root-1'%3e%3crect class='actor actor-top' ry='3' rx='3' name='IdP' height='65' width='222' stroke='%23666' fill='%23eaeaea' y='0' x='397.5'/%3e%3ctext style='text-anchor: middle%3b font-size: 16px%3b font-weight: 400%3b font-family: arial%2c sans-serif%3b' class='actor actor-box' alignment-baseline='central' dominant-baseline='central' y='32.5' x='508.5'%3e%3ctspan dy='0' x='508.5'%3eLogto (fournisseur d'identit%c3%a9)%3c/tspan%3e%3c/text%3e%3c/g%3e%3c/g%3e%3cg%3e%3cline name='U' stroke='%23999' stroke-width='0.5px' class='actor-line 200' y2='755' x2='115.5' y1='65' x1='115.5' id='actor0'/%3e%3cg id='root-0'%3e%3crect class='actor actor-top' ry='3' rx='3' name='U' height='65' width='231' stroke='%23666' fill='%23eaeaea' y='0' x='0'/%3e%3ctext style='text-anchor: middle%3b font-size: 16px%3b font-weight: 400%3b font-family: arial%2c sans-serif%3b' class='actor actor-box' alignment-baseline='central' dominant-baseline='central' y='32.5' x='115.5'%3e%3ctspan dy='0' x='115.5'%3eUtilisateur ou agent utilisateur%3c/tspan%3e%3c/text%3e%3c/g%3e%3c/g%3e%3cstyle%3e%23mermaid-0%7bfont-family:arial%2csans-serif%3bfont-size:16px%3bfill:%23333%3b%7d%23mermaid-0 .error-icon%7bfill:%23552222%3b%7d%23mermaid-0 .error-text%7bfill:%23552222%3bstroke:%23552222%3b%7d%23mermaid-0 .edge-thickness-normal%7bstroke-width:1px%3b%7d%23mermaid-0 .edge-thickness-thick%7bstroke-width:3.5px%3b%7d%23mermaid-0 .edge-pattern-solid%7bstroke-dasharray:0%3b%7d%23mermaid-0 .edge-thickness-invisible%7bstroke-width:0%3bfill:none%3b%7d%23mermaid-0 .edge-pattern-dashed%7bstroke-dasharray:3%3b%7d%23mermaid-0 .edge-pattern-dotted%7bstroke-dasharray:2%3b%7d%23mermaid-0 .marker%7bfill:%23333333%3bstroke:%23333333%3b%7d%23mermaid-0 .marker.cross%7bstroke:%23333333%3b%7d%23mermaid-0 svg%7bfont-family:arial%2csans-serif%3bfont-size:16px%3b%7d%23mermaid-0 p%7bmargin:0%3b%7d%23mermaid-0 .actor%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3b%7d%23mermaid-0 text.actor%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .actor-line%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3b%7d%23mermaid-0 .messageLine0%7bstroke-width:1.5%3bstroke-dasharray:none%3bstroke:%23333%3b%7d%23mermaid-0 .messageLine1%7bstroke-width:1.5%3bstroke-dasharray:2%2c2%3bstroke:%23333%3b%7d%23mermaid-0 %23arrowhead path%7bfill:%23333%3bstroke:%23333%3b%7d%23mermaid-0 .sequenceNumber%7bfill:white%3b%7d%23mermaid-0 %23sequencenumber%7bfill:%23333%3b%7d%23mermaid-0 %23crosshead path%7bfill:%23333%3bstroke:%23333%3b%7d%23mermaid-0 .messageText%7bfill:%23333%3bstroke:none%3b%7d%23mermaid-0 .labelBox%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3b%7d%23mermaid-0 .labelText%2c%23mermaid-0 .labelText%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .loopText%2c%23mermaid-0 .loopText%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .loopLine%7bstroke-width:2px%3bstroke-dasharray:2%2c2%3bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3b%7d%23mermaid-0 .note%7bstroke:%23aaaa33%3bfill:%23fff5ad%3b%7d%23mermaid-0 .noteText%2c%23mermaid-0 .noteText%26gt%3btspan%7bfill:black%3bstroke:none%3b%7d%23mermaid-0 .activation0%7bfill:%23f4f4f4%3bstroke:%23666%3b%7d%23mermaid-0 .activation1%7bfill:%23f4f4f4%3bstroke:%23666%3b%7d%23mermaid-0 .activation2%7bfill:%23f4f4f4%3bstroke:%23666%3b%7d%23mermaid-0 .actorPopupMenu%7bposition:absolute%3b%7d%23mermaid-0 .actorPopupMenuPanel%7bposition:absolute%3bfill:%23ECECFF%3bbox-shadow:0px 8px 16px 0px rgba(0%2c0%2c0%2c0.2)%3bfilter:drop-shadow(3px 5px 2px rgb(0 0 0 / 0.4))%3b%7d%23mermaid-0 .actor-man line%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3b%7d%23mermaid-0 .actor-man circle%2c%23mermaid-0 line%7bstroke:hsl(259.6261682243%2c 59.7765363128%25%2c 87.9019607843%25)%3bfill:%23ECECFF%3bstroke-width:2px%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg/%3e%3cdefs%3e%3csymbol height='24' width='24' id='computer'%3e%3cpath d='M2 2v13h20v-13h-20zm18 11h-16v-9h16v9zm-10.228 6l.466-1h3.524l.467 1h-4.457zm14.228 3h-24l2-6h2.104l-1.33 4h18.45l-1.297-4h2.073l2 6zm-5-10h-14v-7h14v7z' transform='scale(.5)'/%3e%3c/symbol%3e%3c/defs%3e%3cdefs%3e%3csymbol clip-rule='evenodd' fill-rule='evenodd' id='database'%3e%3cpath d='M12.258.001l.256.004.255.005.253.008.251.01.249.012.247.015.246.016.242.019.241.02.239.023.236.024.233.027.231.028.229.031.225.032.223.034.22.036.217.038.214.04.211.041.208.043.205.045.201.046.198.048.194.05.191.051.187.053.183.054.18.056.175.057.172.059.168.06.163.061.16.063.155.064.15.066.074.033.073.033.071.034.07.034.069.035.068.035.067.035.066.035.064.036.064.036.062.036.06.036.06.037.058.037.058.037.055.038.055.038.053.038.052.038.051.039.05.039.048.039.047.039.045.04.044.04.043.04.041.04.04.041.039.041.037.041.036.041.034.041.033.042.032.042.03.042.029.042.027.042.026.043.024.043.023.043.021.043.02.043.018.044.017.043.015.044.013.044.012.044.011.045.009.044.007.045.006.045.004.045.002.045.001.045v17l-.001.045-.002.045-.004.045-.006.045-.007.045-.009.044-.011.045-.012.044-.013.044-.015.044-.017.043-.018.044-.02.043-.021.043-.023.043-.024.043-.026.043-.027.042-.029.042-.03.042-.032.042-.033.042-.034.041-.036.041-.037.041-.039.041-.04.041-.041.04-.043.04-.044.04-.045.04-.047.039-.048.039-.05.039-.051.039-.052.038-.053.038-.055.038-.055.038-.058.037-.058.037-.06.037-.06.036-.062.036-.064.036-.064.036-.066.035-.067.035-.068.035-.069.035-.07.034-.071.034-.073.033-.074.033-.15.066-.155.064-.16.063-.163.061-.168.06-.172.059-.175.057-.18.056-.183.054-.187.053-.191.051-.194.05-.198.048-.201.046-.205.045-.208.043-.211.041-.214.04-.217.038-.22.036-.223.034-.225.032-.229.031-.231.028-.233.027-.236.024-.239.023-.241.02-.242.019-.246.016-.247.015-.249.012-.251.01-.253.008-.255.005-.256.004-.258.001-.258-.001-.256-.004-.255-.005-.253-.008-.251-.01-.249-.012-.247-.015-.245-.016-.243-.019-.241-.02-.238-.023-.236-.024-.234-.027-.231-.028-.228-.031-.226-.032-.223-.034-.22-.036-.217-.038-.214-.04-.211-.041-.208-.043-.204-.045-.201-.046-.198-.048-.195-.05-.19-.051-.187-.053-.184-.054-.179-.056-.176-.057-.172-.059-.167-.06-.164-.061-.159-.063-.155-.064-.151-.066-.074-.033-.072-.033-.072-.034-.07-.034-.069-.035-.068-.035-.067-.035-.066-.035-.064-.036-.063-.036-.062-.036-.061-.036-.06-.037-.058-.037-.057-.037-.056-.038-.055-.038-.053-.038-.052-.038-.051-.039-.049-.039-.049-.039-.046-.039-.046-.04-.044-.04-.043-.04-.041-.04-.04-.041-.039-.041-.037-.041-.036-.041-.034-.041-.033-.042-.032-.042-.03-.042-.029-.042-.027-.042-.026-.043-.024-.043-.023-.043-.021-.043-.02-.043-.018-.044-.017-.043-.015-.044-.013-.044-.012-.044-.011-.045-.009-.044-.007-.045-.006-.045-.004-.045-.002-.045-.001-.045v-17l.001-.045.002-.045.004-.045.006-.045.007-.045.009-.044.011-.045.012-.044.013-.044.015-.044.017-.043.018-.044.02-.043.021-.043.023-.043.024-.043.026-.043.027-.042.029-.042.03-.042.032-.042.033-.042.034-.041.036-.041.037-.041.039-.041.04-.041.041-.04.043-.04.044-.04.046-.04.046-.039.049-.039.049-.039.051-.039.052-.038.053-.038.055-.038.056-.038.057-.037.058-.037.06-.037.061-.036.062-.036.063-.036.064-.036.066-.035.067-.035.068-.035.069-.035.07-.034.072-.034.072-.033.074-.033.151-.066.155-.064.159-.063.164-.061.167-.06.172-.059.176-.057.179-.056.184-.054.187-.053.19-.051.195-.05.198-.048.201-.046.204-.045.208-.043.211-.041.214-.04.217-.038.22-.036.223-.034.226-.032.228-.031.231-.028.234-.027.236-.024.238-.023.241-.02.243-.019.245-.016.247-.015.249-.012.251-.01.253-.008.255-.005.256-.004.258-.001.258.001zm-9.258 20.499v.01l.001.021.003.021.004.022.005.021.006.022.007.022.009.023.01.022.011.023.012.023.013.023.015.023.016.024.017.023.018.024.019.024.021.024.022.025.023.024.024.025.052.049.056.05.061.051.066.051.07.051.075.051.079.052.084.052.088.052.092.052.097.052.102.051.105.052.11.052.114.051.119.051.123.051.127.05.131.05.135.05.139.048.144.049.147.047.152.047.155.047.16.045.163.045.167.043.171.043.176.041.178.041.183.039.187.039.19.037.194.035.197.035.202.033.204.031.209.03.212.029.216.027.219.025.222.024.226.021.23.02.233.018.236.016.24.015.243.012.246.01.249.008.253.005.256.004.259.001.26-.001.257-.004.254-.005.25-.008.247-.011.244-.012.241-.014.237-.016.233-.018.231-.021.226-.021.224-.024.22-.026.216-.027.212-.028.21-.031.205-.031.202-.034.198-.034.194-.036.191-.037.187-.039.183-.04.179-.04.175-.042.172-.043.168-.044.163-.045.16-.046.155-.046.152-.047.148-.048.143-.049.139-.049.136-.05.131-.05.126-.05.123-.051.118-.052.114-.051.11-.052.106-.052.101-.052.096-.052.092-.052.088-.053.083-.051.079-.052.074-.052.07-.051.065-.051.06-.051.056-.05.051-.05.023-.024.023-.025.021-.024.02-.024.019-.024.018-.024.017-.024.015-.023.014-.024.013-.023.012-.023.01-.023.01-.022.008-.022.006-.022.006-.022.004-.022.004-.021.001-.021.001-.021v-4.127l-.077.055-.08.053-.083.054-.085.053-.087.052-.09.052-.093.051-.095.05-.097.05-.1.049-.102.049-.105.048-.106.047-.109.047-.111.046-.114.045-.115.045-.118.044-.12.043-.122.042-.124.042-.126.041-.128.04-.13.04-.132.038-.134.038-.135.037-.138.037-.139.035-.142.035-.143.034-.144.033-.147.032-.148.031-.15.03-.151.03-.153.029-.154.027-.156.027-.158.026-.159.025-.161.024-.162.023-.163.022-.165.021-.166.02-.167.019-.169.018-.169.017-.171.016-.173.015-.173.014-.175.013-.175.012-.177.011-.178.01-.179.008-.179.008-.181.006-.182.005-.182.004-.184.003-.184.002h-.37l-.184-.002-.184-.003-.182-.004-.182-.005-.181-.006-.179-.008-.179-.008-.178-.01-.176-.011-.176-.012-.175-.013-.173-.014-.172-.015-.171-.016-.17-.017-.169-.018-.167-.019-.166-.02-.165-.021-.163-.022-.162-.023-.161-.024-.159-.025-.157-.026-.156-.027-.155-.027-.153-.029-.151-.03-.15-.03-.148-.031-.146-.032-.145-.033-.143-.034-.141-.035-.14-.035-.137-.037-.136-.037-.134-.038-.132-.038-.13-.04-.128-.04-.126-.041-.124-.042-.122-.042-.12-.044-.117-.043-.116-.045-.113-.045-.112-.046-.109-.047-.106-.047-.105-.048-.102-.049-.1-.049-.097-.05-.095-.05-.093-.052-.09-.051-.087-.052-.085-.053-.083-.054-.08-.054-.077-.054v4.127zm0-5.654v.011l.001.021.003.021.004.021.005.022.006.022.007.022.009.022.01.022.011.023.012.023.013.023.015.024.016.023.017.024.018.024.019.024.021.024.022.024.023.025.024.024.052.05.056.05.061.05.066.051.07.051.075.052.079.051.084.052.088.052.092.052.097.052.102.052.105.052.11.051.114.051.119.052.123.05.127.051.131.05.135.049.139.049.144.048.147.048.152.047.155.046.16.045.163.045.167.044.171.042.176.042.178.04.183.04.187.038.19.037.194.036.197.034.202.033.204.032.209.03.212.028.216.027.219.025.222.024.226.022.23.02.233.018.236.016.24.014.243.012.246.01.249.008.253.006.256.003.259.001.26-.001.257-.003.254-.006.25-.008.247-.01.244-.012.241-.015.237-.016.233-.018.231-.02.226-.022.224-.024.22-.025.216-.027.212-.029.21-.03.205-.032.202-.033.198-.035.194-.036.191-.037.187-.039.183-.039.179-.041.175-.042.172-.043.168-.044.163-.045.16-.045.155-.047.152-.047.148-.048.143-.048.139-.05.136-.049.131-.05.126-.051.123-.051.118-.051.114-.052.11-.052.106-.052.101-.052.096-.052.092-.052.088-.052.083-.052.079-.052.074-.051.07-.052.065-.051.06-.05.056-.051.051-.049.023-.025.023-.024.021-.025.02-.024.019-.024.018-.024.017-.024.015-.023.014-.023.013-.024.012-.022.01-.023.01-.023.008-.022.006-.022.006-.022.004-.021.004-.022.001-.021.001-.021v-4.139l-.077.054-.08.054-.083.054-.085.052-.087.053-.09.051-.093.051-.095.051-.097.05-.1.049-.102.049-.105.048-.106.047-.109.047-.111.046-.114.045-.115.044-.118.044-.12.044-.122.042-.124.042-.126.041-.128.04-.13.039-.132.039-.134.038-.135.037-.138.036-.139.036-.142.035-.143.033-.144.033-.147.033-.148.031-.15.03-.151.03-.153.028-.154.028-.156.027-.158.026-.159.025-.161.024-.162.023-.163.022-.165.021-.166.02-.167.019-.169.018-.169.017-.171.016-.173.015-.173.014-.175.013-.175.012-.177.011-.178.009-.179.009-.179.007-.181.007-.182.005-.182.004-.184.003-.184.002h-.37l-.184-.002-.184-.003-.182-.004-.182-.005-.181-.007-.179-.007-.179-.009-.178-.009-.176-.011-.176-.012-.175-.013-.173-.014-.172-.015-.171-.016-.17-.017-.169-.018-.167-.019-.166-.02-.165-.021-.163-.022-.162-.023-.161-.024-.159-.025-.157-.026-.156-.027-.155-.028-.153-.028-.151-.03-.15-.03-.148-.031-.146-.033-.145-.033-.143-.033-.141-.035-.14-.036-.137-.036-.136-.037-.134-.038-.132-.039-.13-.039-.128-.04-.126-.041-.124-.042-.122-.043-.12-.043-.117-.044-.116-.044-.113-.046-.112-.046-.109-.046-.106-.047-.105-.048-.102-.049-.1-.049-.097-.05-.095-.051-.093-.051-.09-.051-.087-.053-.085-.052-.083-.054-.08-.054-.077-.054v4.139zm0-5.666v.011l.001.02.003.022.004.021.005.022.006.021.007.022.009.023.01.022.011.023.012.023.013.023.015.023.016.024.017.024.018.023.019.024.021.025.022.024.023.024.024.025.052.05.056.05.061.05.066.051.07.051.075.052.079.051.084.052.088.052.092.052.097.052.102.052.105.051.11.052.114.051.119.051.123.051.127.05.131.05.135.05.139.049.144.048.147.048.152.047.155.046.16.045.163.045.167.043.171.043.176.042.178.04.183.04.187.038.19.037.194.036.197.034.202.033.204.032.209.03.212.028.216.027.219.025.222.024.226.021.23.02.233.018.236.017.24.014.243.012.246.01.249.008.253.006.256.003.259.001.26-.001.257-.003.254-.006.25-.008.247-.01.244-.013.241-.014.237-.016.233-.018.231-.02.226-.022.224-.024.22-.025.216-.027.212-.029.21-.03.205-.032.202-.033.198-.035.194-.036.191-.037.187-.039.183-.039.179-.041.175-.042.172-.043.168-.044.163-.045.16-.045.155-.047.152-.047.148-.048.143-.049.139-.049.136-.049.131-.051.126-.05.123-.051.118-.052.114-.051.11-.052.106-.052.101-.052.096-.052.092-.052.088-.052.083-.052.079-.052.074-.052.07-.051.065-.051.06-.051.056-.05.051-.049.023-.025.023-.025.021-.024.02-.024.019-.024.018-.024.017-.024.015-.023.014-.024.013-.023.012-.023.01-.022.01-.023.008-.022.006-.022.006-.022.004-.022.004-.021.001-.021.001-.021v-4.153l-.077.054-.08.054-.083.053-.085.053-.087.053-.09.051-.093.051-.095.051-.097.05-.1.049-.102.048-.105.048-.106.048-.109.046-.111.046-.114.046-.115.044-.118.044-.12.043-.122.043-.124.042-.126.041-.128.04-.13.039-.132.039-.134.038-.135.037-.138.036-.139.036-.142.034-.143.034-.144.033-.147.032-.148.032-.15.03-.151.03-.153.028-.154.028-.156.027-.158.026-.159.024-.161.024-.162.023-.163.023-.165.021-.166.02-.167.019-.169.018-.169.017-.171.016-.173.015-.173.014-.175.013-.175.012-.177.01-.178.01-.179.009-.179.007-.181.006-.182.006-.182.004-.184.003-.184.001-.185.001-.185-.001-.184-.001-.184-.003-.182-.004-.182-.006-.181-.006-.179-.007-.179-.009-.178-.01-.176-.01-.176-.012-.175-.013-.173-.014-.172-.015-.171-.016-.17-.017-.169-.018-.167-.019-.166-.02-.165-.021-.163-.023-.162-.023-.161-.024-.159-.024-.157-.026-.156-.027-.155-.028-.153-.028-.151-.03-.15-.03-.148-.032-.146-.032-.145-.033-.143-.034-.141-.034-.14-.036-.137-.036-.136-.037-.134-.038-.132-.039-.13-.039-.128-.041-.126-.041-.124-.041-.122-.043-.12-.043-.117-.044-.116-.044-.113-.046-.112-.046-.109-.046-.106-.048-.105-.048-.102-.048-.1-.05-.097-.049-.095-.051-.093-.051-.09-.052-.087-.052-.085-.053-.083-.053-.08-.054-.077-.054v4.153zm8.74-8.179l-.257.004-.254.005-.25.008-.247.011-.244.012-.241.014-.237.016-.233.018-.231.021-.226.022-.224.023-.22.026-.216.027-.212.028-.21.031-.205.032-.202.033-.198.034-.194.036-.191.038-.187.038-.183.04-.179.041-.175.042-.172.043-.168.043-.163.045-.16.046-.155.046-.152.048-.148.048-.143.048-.139.049-.136.05-.131.05-.126.051-.123.051-.118.051-.114.052-.11.052-.106.052-.101.052-.096.052-.092.052-.088.052-.083.052-.079.052-.074.051-.07.052-.065.051-.06.05-.056.05-.051.05-.023.025-.023.024-.021.024-.02.025-.019.024-.018.024-.017.023-.015.024-.014.023-.013.023-.012.023-.01.023-.01.022-.008.022-.006.023-.006.021-.004.022-.004.021-.001.021-.001.021.001.021.001.021.004.021.004.022.006.021.006.023.008.022.01.022.01.023.012.023.013.023.014.023.015.024.017.023.018.024.019.024.02.025.021.024.023.024.023.025.051.05.056.05.06.05.065.051.07.052.074.051.079.052.083.052.088.052.092.052.096.052.101.052.106.052.11.052.114.052.118.051.123.051.126.051.131.05.136.05.139.049.143.048.148.048.152.048.155.046.16.046.163.045.168.043.172.043.175.042.179.041.183.04.187.038.191.038.194.036.198.034.202.033.205.032.21.031.212.028.216.027.22.026.224.023.226.022.231.021.233.018.237.016.241.014.244.012.247.011.25.008.254.005.257.004.26.001.26-.001.257-.004.254-.005.25-.008.247-.011.244-.012.241-.014.237-.016.233-.018.231-.021.226-.022.224-.023.22-.026.216-.027.212-.028.21-.031.205-.032.202-.033.198-.034.194-.036.191-.038.187-.038.183-.04.179-.041.175-.042.172-.043.168-.043.163-.045.16-.046.155-.046.152-.048.148-.048.143-.048.139-.049.136-.05.131-.05.126-.051.123-.051.118-.051.114-.052.11-.052.106-.052.101-.052.096-.052.092-.052.088-.052.083-.052.079-.052.074-.051.07-.052.065-.051.06-.05.056-.05.051-.05.023-.025.023-.024.021-.024.02-.025.019-.024.018-.024.017-.023.015-.024.014-.023.013-.023.012-.023.01-.023.01-.022.008-.022.006-.023.006-.021.004-.022.004-.021.001-.021.001-.021-.001-.021-.001-.021-.004-.021-.004-.022-.006-.021-.006-.023-.008-.022-.01-.022-.01-.023-.012-.023-.013-.023-.014-.023-.015-.024-.017-.023-.018-.024-.019-.024-.02-.025-.021-.024-.023-.024-.023-.025-.051-.05-.056-.05-.06-.05-.065-.051-.07-.052-.074-.051-.079-.052-.083-.052-.088-.052-.092-.052-.096-.052-.101-.052-.106-.052-.11-.052-.114-.052-.118-.051-.123-.051-.126-.051-.131-.05-.136-.05-.139-.049-.143-.048-.148-.048-.152-.048-.155-.046-.16-.046-.163-.045-.168-.043-.172-.043-.175-.042-.179-.041-.183-.04-.187-.038-.191-.038-.194-.036-.198-.034-.202-.033-.205-.032-.21-.031-.212-.028-.216-.027-.22-.026-.224-.023-.226-.022-.231-.021-.233-.018-.237-.016-.241-.014-.244-.012-.247-.011-.25-.008-.254-.005-.257-.004-.26-.001-.26.001z' transform='scale(.5)'/%3e%3c/symbol%3e%3c/defs%3e%3cdefs%3e%3csymbol height='24' width='24' id='clock'%3e%3cpath d='M12 2c5.514 0 10 4.486 10 10s-4.486 10-10 10-10-4.486-10-10 4.486-10 10-10zm0-2c-6.627 0-12 5.373-12 12s5.373 12 12 12 12-5.373 12-12-5.373-12-12-12zm5.848 12.459c.202.038.202.333.001.372-1.907.361-6.045 1.111-6.547 1.111-.719 0-1.301-.582-1.301-1.301 0-.512.77-5.447 1.125-7.445.034-.192.312-.181.343.014l.985 6.238 5.394 1.011z' transform='scale(.5)'/%3e%3c/symbol%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto-start-reverse' markerHeight='12' markerWidth='12' markerUnits='userSpaceOnUse' refY='5' refX='7.9' id='arrowhead'%3e%3cpath d='M -1 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker refY='4.5' refX='4' orient='auto' markerHeight='8' markerWidth='15' id='crosshead'%3e%3cpath style='stroke-dasharray: 0%2c 0%3b' d='M 1%2c2 L 6%2c7 M 6%2c2 L 1%2c7' stroke-width='1pt' stroke='black' fill='none'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='28' markerWidth='20' refY='7' refX='15.5' id='filled-head'%3e%3cpath d='M 18%2c7 L9%2c13 L14%2c7 L9%2c1 Z'/%3e%3c/marker%3e%3c/defs%3e%3cdefs%3e%3cmarker orient='auto' markerHeight='40' markerWidth='60' refY='15' refX='15' id='sequencenumber'%3e%3ccircle r='6' cy='15' cx='15'/%3e%3c/marker%3e%3c/defs%3e%3cg%3e%3crect class='activation0' height='437' width='10' stroke='%23666' fill='%23EDF2AE' y='109' x='503.5'/%3e%3c/g%3e%3cg%3e%3crect class='note' height='37' width='222' stroke='%23666' fill='%23EDF2AE' y='230' x='397.5'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='noteText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='235' x='509'%3e%3ctspan x='509'%3eJWT personnalis%c3%a9%3c/tspan%3e%3c/text%3e%3c/g%3e%3cg%3e%3cline class='loopLine' y2='602' x2='884' y1='602' x1='104.5'/%3e%3cline class='loopLine' y2='735' x2='884' y1='602' x1='884'/%3e%3cline class='loopLine' y2='735' x2='884' y1='735' x1='104.5'/%3e%3cline class='loopLine' y2='735' x2='104.5' y1='602' x1='104.5'/%3e%3cpolygon class='labelBox' points='104.5%2c602 154.5%2c602 154.5%2c615 146.1%2c622 104.5%2c622'/%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' class='labelText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='615' x='130'%3epar%3c/text%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' class='loopText' text-anchor='middle' y='620' x='519.25'%3e%3ctspan x='519.25'%3e%5bObtenir un service via API%5d%3c/tspan%3e%3c/text%3e%3c/g%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='80' x='311'%3eDemande d'authentification (avec identifiants)%3c/text%3e%3cline style='fill: none%3b' marker-start='url(%23sequencenumber)' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='109' x2='504.5' y1='109' x1='116.5'/%3e%3ctext class='sequenceNumber' text-anchor='middle' font-size='12px' font-family='sans-serif' y='113' x='116.5'%3e1%3c/text%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='124' x='514'%3eValider les identifiants %26amp%3b%3c/text%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='141' x='514'%3eg%c3%a9n%c3%a9rer le payload brut du jeton d'acc%c3%a8s%3c/text%3e%3cpath style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-start='url(%23sequencenumber)' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' d='M 513.5%2c170 C 573.5%2c160 573.5%2c200 513.5%2c190'/%3e%3ctext class='sequenceNumber' text-anchor='middle' font-size='12px' font-family='sans-serif' y='174' x='513.5'%3e2%3c/text%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='282' x='514'%3eEx%c3%a9cuter le script des revendications JWT personnalis%c3%a9es (%60getCustomJwtClaims%60) %26amp%3b%3c/text%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='299' x='514'%3eobtenir des revendications JWT suppl%c3%a9mentaires%3c/text%3e%3cpath style='fill: none%3b' marker-start='url(%23sequencenumber)' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' d='M 513.5%2c328 C 573.5%2c318 573.5%2c358 513.5%2c348'/%3e%3ctext class='sequenceNumber' text-anchor='middle' font-size='12px' font-family='sans-serif' y='332' x='513.5'%3e3%3c/text%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='413' x='514'%3eFusionner le payload brut du jeton d'acc%c3%a8s et les revendications JWT suppl%c3%a9mentaires%3c/text%3e%3cpath style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-start='url(%23sequencenumber)' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' d='M 513.5%2c442 C 573.5%2c432 573.5%2c472 513.5%2c462'/%3e%3ctext class='sequenceNumber' text-anchor='middle' font-size='12px' font-family='sans-serif' y='446' x='513.5'%3e4%3c/text%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='487' x='514'%3eSigner %26amp%3b crypter le payload pour obtenir le jeton d'acc%c3%a8s JWT%3c/text%3e%3cpath style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-start='url(%23sequencenumber)' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' d='M 513.5%2c516 C 573.5%2c506 573.5%2c546 513.5%2c536'/%3e%3ctext class='sequenceNumber' text-anchor='middle' font-size='12px' font-family='sans-serif' y='520' x='513.5'%3e5%3c/text%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='561' x='314'%3e%c3%89mettre un jeton d'acc%c3%a8s au format JWT%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-start='url(%23sequencenumber)' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='592' x2='119.5' y1='592' x1='507.5'/%3e%3ctext class='sequenceNumber' text-anchor='middle' font-size='12px' font-family='sans-serif' y='596' x='507.5'%3e6%3c/text%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='652' x='493'%3erequ%c3%aate de service (avec jeton d'acc%c3%a8s JWT)%3c/text%3e%3cline style='fill: none%3b' marker-start='url(%23sequencenumber)' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine0' y2='681' x2='869' y1='681' x1='116.5'/%3e%3ctext class='sequenceNumber' text-anchor='middle' font-size='12px' font-family='sans-serif' y='685' x='116.5'%3e7%3c/text%3e%3ctext style='font-family: arial%2c sans-serif%3b font-size: 16px%3b font-weight: 400%3b' dy='1em' class='messageText' alignment-baseline='middle' dominant-baseline='middle' text-anchor='middle' y='696' x='496'%3er%c3%a9ponse du service%3c/text%3e%3cline style='stroke-dasharray: 3%2c 3%3b fill: none%3b' marker-start='url(%23sequencenumber)' marker-end='url(%23arrowhead)' stroke='none' stroke-width='2' class='messageLine1' y2='725' x2='119.5' y1='725' x1='872'/%3e%3ctext class='sequenceNumber' text-anchor='middle' font-size='12px' font-family='sans-serif' y='729' x='872'%3e8%3c/text%3e%3c/svg%3e)
Améliorez votre autorisation avec des revendications JWT personnalisées : un exemple pratique
Dans la section précédente, nous avons expliqué le principe de fonctionnement du JWT personnalisé de Logto. Dans cette partie, nous allons vous montrer comment utiliser les revendications JWT personnalisées de Logto pour améliorer la flexibilité de l'autorisation et la performance du fournisseur de services à travers un exemple concret.
Configuration du scénario
L'équipe de John a développé une application d'assistant IA qui permet aux utilisateurs de converser avec des robots IA pour obtenir divers services.
Les services du robot IA sont divisés en services gratuits et services payants. Les services gratuits incluent des recommandations spéciales sur les tarifs aériens, tandis que les services payants incluent des prédictions boursières.
L'application d'assistant IA utilise Logto pour gérer tous les utilisateurs, qui sont divisés en trois types : utilisateurs gratuits, utilisateurs prépayés, et utilisateurs premium. Les utilisateurs gratuits ne peuvent utiliser que les services gratuits, les utilisateurs prépayés peuvent utiliser tous les services (facturés à l'utilisation), et les utilisateurs premium peuvent utiliser tous les services (mais avec des limites de taux pour prévenir les usages abusifs).
De plus, l'application d'assistant IA utilise Stripe pour gérer les paiements des utilisateurs et dispose de son propre service de journalisation pour enregistrer les journaux d'opérations des utilisateurs.
Configurations de Logto
Nous créons d'abord des ressources API pour le service d'assistant IA et créons deux champs d'application, recommend:flight et predict:stock.
Ensuite, nous créons deux rôles, free-user et paid-user, et assignons les champs d'application correspondants :
- Assigner le champ d'application
recommend:flightau rôlefree-user. - Assigner les deux champs d'application
recommend:flightetpredict:stockau rôlepaid-user.
Enfin, nous créons trois utilisateurs, free-user, prepaid-user, et premium-user, et assignons les rôles correspondants :
- Assigner le rôle
free-userà l'utilisateurfree-user. - Assigner le rôle
paid-useraux utilisateursprepaid-useretpremium-user.
Comme indiqué dans l'image suivante, afin de mettre en œuvre les informations d'autorisation nécessaires pour le scénario décrit ci-dessus, nous espérons inclure les informations roles, balance et numOfCallsToday de l'utilisateur actuellement connecté dans le JWT. Lors de la vérification du jeton d'accès dans l'application d'assistant IA, ces informations peuvent être utilisées pour effectuer rapidement la vérification des permissions.
Après avoir configuré les envVariables, nous implémentons la fonction getCustomJwtClaims et cliquons sur le bouton "Run test" pour voir le résultat des revendications JWT supplémentaires en fonction des données de test actuelles.
Comme nous n'avons pas configuré les données de test pour data.user.roles, les roles affichés dans le résultat sont un tableau vide.
Vérifier si la fonctionnalité JWT personnalisé est activée
Selon la configuration de Logto ci-dessus, nous avons obtenu les résultats correspondants dans le test. Ensuite, nous utiliserons l'application d'exemple fournie par Logto pour vérifier si notre JWT personnalisé est efficace. Trouvez le SDK avec lequel vous êtes familier chez Logto SDKs et déployez une application d'exemple selon la documentation et le dépôt GitHub correspondant.
Sur la base de la configuration décrite ci-dessus, en prenant le React SDK comme exemple, nous devons mettre à jour la configuration correspondante dans LogtoConfig :
Après avoir connecté l'utilisateur free_user à l'application d'exemple qui simule l'application d'assistant IA, nous pouvons voir les informations roles, balance, numOfCallsToday, isPaidUser et isPremiumUser que nous avons ajoutées en consultant la partie payload du jeton d'accès JWT.
Les valeurs de balance, numOfCallsToday, isPaidUser et isPremiumUser sont cohérentes avec le test précédent, et roles est égal à ["free-user"]. C'est parce que dans le processus réel de connexion de l'utilisateur final, nous obtiendrons toutes les données accessibles de l'utilisateur et les traiterons en conséquence.
Pour les utilisateurs premium, nous pouvons voir que roles est ["paid-user"] et que isPaidUser et isPremiumUser sont tous deux true.
Mettez à jour la logique d'autorisation du fournisseur de services
Dans les étapes précédentes, nous avons ajouté des revendications personnalisées basées sur les besoins métier au jeton d'accès de l'utilisateur. Ensuite, nous pouvons utiliser ces revendications pour effectuer rapidement une vérification d'autorisation.
Ici, nous fournissons la logique de Logto pour vérifier les jetons d'accès JWT côté API. La mise en œuvre complète du code peut être trouvée dans le dépôt GitHub :
Vous pouvez vous référer à la logique de l'API Logto pour vérifier les jetons d'accès et la personnaliser en fonction de votre propre logique métier. Par exemple, pour le scénario de l'application d'assistant IA décrit ici, vous pouvez ajouter la logique de vérification des revendications personnalisées telles que roles, balance, numOfCallsToday, isPaidUser et isPremiumUser dans la fonction verifyBearerTokenFromRequest.
L'exemple ci-dessus concerne le scénario où il affecte la connexion de l'utilisateur final et l'obtention du jeton d'accès JWT. Si votre cas d'utilisation est machine-à-machine (M2M), vous pouvez également configurer les revendications JWT personnalisées pour les applications M2M séparément.
La configuration des JWT personnalisés pour les utilisateurs n'affectera pas le résultat des applications M2M obtenant des jetons d'accès, et vice versa.
En raison de la généralité des connexions M2M, Logto ne fournit actuellement pas la fonction permettant à la méthode getCustomJwtClaims des applications M2M d'accepter les données internes de Logto. Pour d'autres aspects, la méthode de configuration des JWT personnalisés pour les applications M2M est la même que pour les applications utilisateur. Cet article ne s'étendra pas sur ce sujet. Vous pouvez utiliser la fonctionnalité JWT personnalisé de Logto pour commencer.
Pourquoi utiliser des revendications JWT personnalisées ?
Nous avons fourni le scénario de l'application d'assistant IA pour John et comment utiliser la fonctionnalité JWT personnalisé de Logto pour réaliser une vérification d'autorisation plus flexible. Dans ce processus, nous pouvons voir les avantages de la fonctionnalité JWT personnalisé :
- Sans la fonctionnalité JWT personnalisé, les utilisateurs doivent demander une API externe (comme ce que vous faites dans
getCustomJwtClaims) à chaque fois qu'ils vérifient les permissions. Pour le fournisseur de services qui fournit cette API, cela peut augmenter la charge supplémentaire. Avec la fonctionnalité JWT personnalisé, ces informations peuvent être mises directement dans le JWT, réduisant les appels fréquents à l'API externe. - Pour les fournisseurs de services, la fonctionnalité JWT personnalisé peut les aider à vérifier plus rapidement les permissions des utilisateurs, en particulier lorsque le client appelle fréquemment le fournisseur de services, améliorant ainsi les performances des services.
- La fonctionnalité JWT personnalisé peut vous aider à mettre en œuvre rapidement des informations d'autorisation supplémentaires requises par le métier, et les informations peuvent être transmises entre le client et le fournisseur de services de manière sécurisée puisque le JWT est autonome et peut être crypté de manière à ce qu'il soit difficile à falsifier.
En même temps, puisque getCustomJwtClaims est exécuté chaque fois que l'utilisateur a besoin que Logto émette un jeton d'accès, il est nécessaire d'éviter d'exécuter une logique trop complexe et des requêtes vers des APIs externes avec des exigences de bande passante élevées. Sinon, cela pourrait prendre trop longtemps pour que les utilisateurs finaux attendent le résultat de getCustomJwtClaims pendant le processus de connexion. Si votre getCustomJwtClaims retourne un objet vide, nous vous recommandons vivement de supprimer temporairement cet élément de configuration jusqu'à ce que vous en ayez réellement besoin.
Conclusion
Dans cet article, Logto a étendu le jeton d'accès JWT de base et a étendu la fonction des revendications supplémentaires JWT pour permettre aux utilisateurs d'insérer des informations supplémentaires sur l'utilisateur final dans le jeton d'accès JWT en fonction de leurs besoins métier, afin qu'après que l'utilisateur se soit connecté, les permissions de l'utilisateur puissent être rapidement vérifiées.
Nous fournissons le scénario de l'application d'assistant IA de John et montrons comment utiliser la fonctionnalité JWT personnalisé de Logto pour réaliser une vérification d'autorisation plus flexible. Nous avons également souligné certains points clés de l'utilisation des revendications JWT personnalisées. En combinaison avec des scénarios métier réels, les utilisateurs peuvent insérer diverses informations liées aux utilisateurs dans le jeton d'accès JWT en fonction de leurs besoins, de sorte que le fournisseur de services puisse rapidement vérifier les permissions de l'utilisateur.