"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "comment-fonctionnent-les-revendications-jwt-personnalisées-de-logto-", "hProperties": { "id": "comment-fonctionnent-les-revendications-jwt-personnalisées-de-logto-" } }, "depth": 2, "value": "Comment fonctionnent les revendications JWT personnalisées de Logto ?" }, { "data": { "id": "améliorez-votre-autorisation-avec-des-revendications-jwt-personnalisées--un-exemple-pratique", "hProperties": { "id": "améliorez-votre-autorisation-avec-des-revendications-jwt-personnalisées--un-exemple-pratique" } }, "depth": 2, "value": "Améliorez votre autorisation avec des revendications JWT personnalisées : un exemple pratique" }, { "data": { "id": "configuration-du-scénario", "hProperties": { "id": "configuration-du-scénario" } }, "depth": 3, "value": "Configuration du scénario" }, { "data": { "id": "configurations-de-logto", "hProperties": { "id": "configurations-de-logto" } }, "depth": 3, "value": "Configurations de Logto" }, { "data": { "id": "vérifier-si-la-fonctionnalité-jwt-personnalisé-est-activée", "hProperties": { "id": "vérifier-si-la-fonctionnalité-jwt-personnalisé-est-activée" } }, "depth": 3, "value": "Vérifier si la fonctionnalité JWT personnalisé est activée" }, { "data": { "id": "mettez-à-jour-la-logique-dautorisation-du-fournisseur-de-services", "hProperties": { "id": "mettez-à-jour-la-logique-dautorisation-du-fournisseur-de-services" } }, "depth": 3, "value": "Mettez à jour la logique d'autorisation du fournisseur de services" }, { "data": { "id": "pourquoi-utiliser-des-revendications-jwt-personnalisées-", "hProperties": { "id": "pourquoi-utiliser-des-revendications-jwt-personnalisées-" } }, "depth": 3, "value": "Pourquoi utiliser des revendications JWT personnalisées ?" }, { "data": { "id": "conclusion", "hProperties": { "id": "conclusion" } }, "depth": 2, "value": "Conclusion" }]; const readingTime = { "minutes": 9, "words": 2823, "text": "9 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", code: "code", h2: "h2", h3: "h3", li: "li", ol: "ol", p: "p", pre: "pre", span: "span", ul: "ul", ..._provideComponents(), ...props.components }, {Info, LogtoCloudButton, Note} = _components; if (!Info) _missingMdxReference("Info", true); if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); if (!Note) _missingMdxReference("Note", true); return _jsxs(_Fragment, { children: [_jsx(_components.p, { children: "Dans des articles précédents, nous avons mentionné que de plus en plus de systèmes utilisent des jetons d'accès au format JWT pour l'authentification et le contrôle d'accès des utilisateurs. L'une des raisons importantes de cela est que le JWT peut contenir certaines informations utiles, telles que les rôles et les permissions des utilisateurs. Ces informations peuvent nous aider à faire passer les informations d'identité des utilisateurs entre le serveur et le client, permettant ainsi une authentification et un contrôle d'accès des utilisateurs." }), "\n", _jsxs(_components.p, { children: ["Habituellement, les informations contenues dans le JWT sont déterminées par le serveur d'authentification. Selon le protocole OAuth 2.0, le JWT contient généralement des champs tels que ", _jsx(_components.code, { children: "sub" }), " (sujet), ", _jsx(_components.code, { children: "aud" }), " (auditoire) et ", _jsx(_components.code, { children: "exp" }), " (date d'expiration), que l'on appelle communément des revendications. Ces revendications peuvent aider à vérifier la validité du jeton d'accès."] }), "\n", _jsx(_components.p, { children: "Cependant, il existe d'innombrables scénarios où le JWT est utilisé pour la vérification, et les revendications JWT courantes peuvent souvent ne pas répondre aux besoins des utilisateurs. Les gens pensent souvent que puisque le JWT peut contenir certaines informations, ne pourrait-on pas ajouter quelques informations supplémentaires pour faciliter l'autorisation ?" }), "\n", _jsx(_components.p, { children: "La réponse est OUI, nous pouvons ajouter des revendications personnalisées au JWT, telles que le champ d'application et le niveau d'abonnement de l'utilisateur actuel. De cette manière, nous pouvons faire passer les informations d'identité des utilisateurs entre le client et le serveur (ici se référant au serveur qui fournit divers services, également appelé fournisseur de services), pour réaliser l'authentification et le contrôle d'accès des utilisateurs." }), "\n", _jsxs(_components.p, { children: ["Pour les revendications JWT standard, veuillez vous référer à ", _jsx(_components.a, { href: "https://datatracker.ietf.org/doc/html/rfc7519", children: "RFC7519" }), ". Logto, en tant que solution d'identité qui prend en charge à la fois l'authentification et l'autorisation, a étendu les revendications de ressources et de champ d'application sur cette base pour prendre en charge le ", _jsx(_components.a, { href: "https://docs.logto.io/docs/recipes/rbac/", children: "RBAC" }), " standard. Bien que la mise en œuvre du RBAC par Logto soit standard, elle n'est pas suffisamment simple et flexible pour s'adapter à tous les cas d'utilisation."] }), "\n", _jsx(_components.p, { children: "Sur cette base, Logto a lancé une nouvelle fonctionnalité de personnalisation des revendications JWT, qui permet aux utilisateurs de personnaliser des revendications JWT supplémentaires, afin que l'authentification et le contrôle d'accès des utilisateurs puissent être mis en œuvre de manière plus flexible." }), "\n", _jsx(LogtoCloudButton, {}), "\n", _jsxs(_components.h2, { id: "comment-fonctionnent-les-revendications-jwt-personnalisées-de-logto-", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#comment-fonctionnent-les-revendications-jwt-personnalisées-de-logto-", children: _jsx(_components.span, { children: "#" }) }), "Comment fonctionnent les revendications JWT personnalisées de Logto ?"] }), "\n", _jsx(_components.p, { children: "Vous pouvez accéder à la page de liste des JWT personnalisés en cliquant sur le bouton \"JWT claims\" dans la barre latérale." }), "\n", _jsx("center", { children: _jsx("img", { alt: "custom-jwt-listing-page", src: "https://uploads.strapi.logto.io/1/custom_jwt_listing_page_f56a88c98f.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Commençons par ajouter des revendications personnalisées pour les utilisateurs finaux." }), "\n", _jsxs(_components.p, { children: ["Dans l'éditeur sur la gauche, vous pouvez personnaliser votre fonction ", _jsx(_components.code, { children: "getCustomJwtClaims" }), ". Cette méthode a trois paramètres d'entrée : ", _jsx(_components.code, { children: "token" }), ", ", _jsx(_components.code, { children: "data" }), ", et ", _jsx(_components.code, { children: "envVariables" }), "."] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "token" }), " est le payload brut du jeton d'accès obtenu en fonction des identifiants de l'utilisateur actuel et de la configuration de votre système, ainsi que des informations relatives à l'accès de l'utilisateur dans Logto"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "data" }), " est toute l'information sur l'utilisateur dans Logto, y compris tous les rôles de l'utilisateur, les identités de connexion sociale, les identités SSO, les appartenances à des organisations, etc."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "envVariables" }), " sont les variables d'environnement que vous avez configurées dans Logto pour le scénario d'utilisation des jetons d'accès de l'utilisateur actuel, telles que la ou les clés API des API externes requises, etc."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "details-page-user-data", src: "https://uploads.strapi.logto.io/1/details_page_user_data_a92388f24a.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Les cartes sur la droite peuvent être agrandies pour montrer l'introduction des paramètres correspondants, et vous pouvez également définir ici les variables d'environnement pour le scénario actuel." }), "\n", _jsx("center", { children: _jsx("img", { alt: "details-page-user-test", src: "https://uploads.strapi.logto.io/1/details_page_user_test_93932f6e66.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Après avoir lu les introductions de toutes les cartes sur la droite, vous pouvez passer en mode test, où vous pouvez éditer les données de test et utiliser les données de test éditées pour vérifier si le comportement du script que vous avez écrit dans l'éditeur de code sur la gauche répond à vos attentes." }), "\n", _jsxs(_components.p, { children: ["Voici un diagramme de séquence montrant le processus d'exécution de la fonction ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " lorsqu'un utilisateur final initie une demande d'authentification à Logto et obtient finalement le jeton d'accès au format JWT renvoyé par Logto."] }), "\n", _jsxs(_components.p, { children: ["Si la fonctionnalité JWT personnalisé n'est pas activée, l'étape 3 dans le schéma sera sautée et l'étape 4 sera exécutée juste après la fin de l'étape 2. À ce moment-là, Logto supposera que la valeur de retour de ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " est un objet vide, puis continuera de suivre les étapes suivantes."] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n participant U as Utilisateur ou agent utilisateur\n participant IdP as Logto (fournisseur d'identité)\n participant SP as Fournisseur de services\n\n autonumber\n U ->> IdP: Demande d'authentification (avec identifiants)\n activate IdP\n IdP-->>IdP: Valider les identifiants &
générer le payload brut du jeton d'accès\n rect rgb(191, 223, 255)\n note over IdP: JWT personnalisé\n IdP->>IdP: Exécuter le script des revendications JWT personnalisées (`getCustomJwtClaims`) &
obtenir des revendications JWT supplémentaires\n end\n IdP-->>IdP: Fusionner le payload brut du jeton d'accès et les revendications JWT supplémentaires\n IdP-->>IdP: Signer & crypter le payload pour obtenir le jeton d'accès JWT\n deactivate IdP\n IdP-->>U: Émettre un jeton d'accès au format JWT\n par Obtenir un service via API\n U->>SP: requête de service (avec jeton d'accès JWT)\n SP-->>U: réponse du service\n end\n" }) }), "\n", _jsx(Note, { children: _jsxs(_components.p, { children: ["Pour des raisons de sécurité, si les revendications JWT renvoyées par la fonction ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " de Logto existent déjà dans le payload du jeton d'accès, ces revendications N'AURONT PAS d'effet et ne pourront PAS écraser les revendications existantes."] }) }), "\n", _jsxs(_components.h2, { id: "améliorez-votre-autorisation-avec-des-revendications-jwt-personnalisées--un-exemple-pratique", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#améliorez-votre-autorisation-avec-des-revendications-jwt-personnalisées--un-exemple-pratique", children: _jsx(_components.span, { children: "#" }) }), "Améliorez votre autorisation avec des revendications JWT personnalisées : un exemple pratique"] }), "\n", _jsx(_components.p, { children: "Dans la section précédente, nous avons expliqué le principe de fonctionnement du JWT personnalisé de Logto. Dans cette partie, nous allons vous montrer comment utiliser les revendications JWT personnalisées de Logto pour améliorer la flexibilité de l'autorisation et la performance du fournisseur de services à travers un exemple concret." }), "\n", _jsxs(_components.h3, { id: "configuration-du-scénario", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#configuration-du-scénario", children: _jsx(_components.span, { children: "#" }) }), "Configuration du scénario"] }), "\n", _jsx(_components.p, { children: "L'équipe de John a développé une application d'assistant IA qui permet aux utilisateurs de converser avec des robots IA pour obtenir divers services." }), "\n", _jsx(_components.p, { children: "Les services du robot IA sont divisés en services gratuits et services payants. Les services gratuits incluent des recommandations spéciales sur les tarifs aériens, tandis que les services payants incluent des prédictions boursières." }), "\n", _jsx(_components.p, { children: "L'application d'assistant IA utilise Logto pour gérer tous les utilisateurs, qui sont divisés en trois types : utilisateurs gratuits, utilisateurs prépayés, et utilisateurs premium. Les utilisateurs gratuits ne peuvent utiliser que les services gratuits, les utilisateurs prépayés peuvent utiliser tous les services (facturés à l'utilisation), et les utilisateurs premium peuvent utiliser tous les services (mais avec des limites de taux pour prévenir les usages abusifs)." }), "\n", _jsx(_components.p, { children: "De plus, l'application d'assistant IA utilise Stripe pour gérer les paiements des utilisateurs et dispose de son propre service de journalisation pour enregistrer les journaux d'opérations des utilisateurs." }), "\n", _jsxs(_components.h3, { id: "configurations-de-logto", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#configurations-de-logto", children: _jsx(_components.span, { children: "#" }) }), "Configurations de Logto"] }), "\n", _jsxs(_components.p, { children: ["Nous créons d'abord des ressources API pour le service d'assistant IA et créons deux champs d'application, ", _jsx(_components.code, { children: "recommend:flight" }), " et ", _jsx(_components.code, { children: "predict:stock" }), "."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "ai-assistant-app-resource", src: "https://uploads.strapi.logto.io/1/ai_assistant_app_resource_e3c2ee0f03.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Ensuite, nous créons deux ", _jsx(_components.code, { children: "rôles" }), ", ", _jsx(_components.code, { children: "free-user" }), " et ", _jsx(_components.code, { children: "paid-user" }), ", et assignons les champs d'application correspondants :"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: ["Assigner le champ d'application ", _jsx(_components.code, { children: "recommend:flight" }), " au rôle ", _jsx(_components.code, { children: "free-user" }), "."] }), "\n", _jsxs(_components.li, { children: ["Assigner les deux champs d'application ", _jsx(_components.code, { children: "recommend:flight" }), " et ", _jsx(_components.code, { children: "predict:stock" }), " au rôle ", _jsx(_components.code, { children: "paid-user" }), "."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "free-user-role", src: "https://uploads.strapi.logto.io/1/free_user_role_153a0277ba.webp", width: "800" }) }), "\n", _jsx("center", { children: _jsx("img", { alt: "paid-user-role", src: "https://uploads.strapi.logto.io/1/paid_user_role_d2fa9f5db6.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Enfin, nous créons trois utilisateurs, ", _jsx(_components.code, { children: "free-user" }), ", ", _jsx(_components.code, { children: "prepaid-user" }), ", et ", _jsx(_components.code, { children: "premium-user" }), ", et assignons les rôles correspondants :"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: ["Assigner le rôle ", _jsx(_components.code, { children: "free-user" }), " à l'utilisateur ", _jsx(_components.code, { children: "free-user" }), "."] }), "\n", _jsxs(_components.li, { children: ["Assigner le rôle ", _jsx(_components.code, { children: "paid-user" }), " aux utilisateurs ", _jsx(_components.code, { children: "prepaid-user" }), " et ", _jsx(_components.code, { children: "premium-user" }), "."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "assign-free-user-role", src: "https://uploads.strapi.logto.io/1/assign_free_user_role_f7d37cb5c9.webp", width: "800" }) }), "\n", _jsx("center", { children: _jsx("img", { alt: "assign-paid-user-role", src: "https://uploads.strapi.logto.io/1/assign_paid_user_role_2dbfd74d6e.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Comme indiqué dans l'image suivante, afin de mettre en œuvre les informations d'autorisation nécessaires pour le scénario décrit ci-dessus, nous espérons inclure les informations ", _jsx(_components.code, { children: "roles" }), ", ", _jsx(_components.code, { children: "balance" }), " et ", _jsx(_components.code, { children: "numOfCallsToday" }), " de l'utilisateur actuellement connecté dans le JWT. Lors de la vérification du jeton d'accès dans l'application d'assistant IA, ces informations peuvent être utilisées pour effectuer rapidement la vérification des permissions."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "test-custom-jwt-claims", src: "https://uploads.strapi.logto.io/1/test_custom_jwt_claims_3fcd4c2004.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Après avoir configuré les ", _jsx(_components.code, { children: "envVariables" }), ", nous implémentons la fonction ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " et cliquons sur le bouton \"Run test\" pour voir le résultat des revendications JWT supplémentaires en fonction des données de test actuelles."] }), "\n", _jsxs(_components.p, { children: ["Comme nous n'avons pas configuré les données de test pour ", _jsx(_components.code, { children: "data.user.roles" }), ", les ", _jsx(_components.code, { children: "roles" }), " affichés dans le résultat sont un tableau vide."] }), "\n", _jsxs(_components.h3, { id: "vérifier-si-la-fonctionnalité-jwt-personnalisé-est-activée", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#vérifier-si-la-fonctionnalité-jwt-personnalisé-est-activée", children: _jsx(_components.span, { children: "#" }) }), "Vérifier si la fonctionnalité JWT personnalisé est activée"] }), "\n", _jsxs(_components.p, { children: ["Selon la configuration de Logto ci-dessus, nous avons obtenu les résultats correspondants dans le test. Ensuite, nous utiliserons l'application d'exemple fournie par Logto pour vérifier si notre JWT personnalisé est efficace. Trouvez le SDK avec lequel vous êtes familier chez ", _jsx(_components.a, { href: "https://docs.logto.io/sdk/", children: "Logto SDKs" }), " et déployez une application d'exemple selon la documentation et le dépôt GitHub correspondant."] }), "\n", _jsxs(_components.p, { children: ["Sur la base de la configuration décrite ci-dessus, en prenant le ", _jsx(_components.a, { href: "https://docs.logto.io/sdk/react/", children: "React SDK" }), " comme exemple, nous devons mettre à jour la configuration correspondante dans LogtoConfig :"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "import { LogtoProvider, LogtoConfig, UserScope } from '@logto/react';\n\nconst config: LogtoConfig = {\n appId,\n endpoint,\n scopes: [\n UserScope.Email,\n UserScope.Phone,\n UserScope.CustomData,\n UserScope.Identities,\n UserScope.Organizations,\n \"recommend:flight\",\n \"predict:stock\",\n ],\n resources: [\"https://api.aiassistant.app/v1\"]\n};\n\nconst App = () => (\n \n \n \n);\n" }) }), "\n", _jsxs(_components.p, { children: ["Après avoir connecté l'utilisateur ", _jsx(_components.code, { children: "free_user" }), " à l'application d'exemple qui simule l'application d'assistant IA, nous pouvons voir les informations ", _jsx(_components.code, { children: "roles" }), ", ", _jsx(_components.code, { children: "balance" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " et ", _jsx(_components.code, { children: "isPremiumUser" }), " que nous avons ajoutées en consultant la partie payload du jeton d'accès JWT."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "sample-app-access-token-preview-free", src: "https://uploads.strapi.logto.io/1/sample_app_access_token_preview_free_117a8594c8.webp", width: "400" }) }), "\n", _jsxs(_components.p, { children: ["Les valeurs de ", _jsx(_components.code, { children: "balance" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " et ", _jsx(_components.code, { children: "isPremiumUser" }), " sont cohérentes avec le test précédent, et ", _jsx(_components.code, { children: "roles" }), " est égal à ", _jsx(_components.code, { children: "[\"free-user\"]" }), ". C'est parce que dans le processus réel de connexion de l'utilisateur final, nous obtiendrons toutes les données accessibles de l'utilisateur et les traiterons en conséquence."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "sample-app-access-token-preview-premium", src: "https://uploads.strapi.logto.io/1/sample_app_access_token_preview_premium_673f6f3db1.webp", width: "400" }) }), "\n", _jsxs(_components.p, { children: ["Pour les utilisateurs premium, nous pouvons voir que ", _jsx(_components.code, { children: "roles" }), " est ", _jsx(_components.code, { children: "[\"paid-user\"]" }), " et que ", _jsx(_components.code, { children: "isPaidUser" }), " et ", _jsx(_components.code, { children: "isPremiumUser" }), " sont tous deux ", _jsx(_components.code, { children: "true" }), "."] }), "\n", _jsxs(_components.h3, { id: "mettez-à-jour-la-logique-dautorisation-du-fournisseur-de-services", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#mettez-à-jour-la-logique-dautorisation-du-fournisseur-de-services", children: _jsx(_components.span, { children: "#" }) }), "Mettez à jour la logique d'autorisation du fournisseur de services"] }), "\n", _jsx(_components.p, { children: "Dans les étapes précédentes, nous avons ajouté des revendications personnalisées basées sur les besoins métier au jeton d'accès de l'utilisateur. Ensuite, nous pouvons utiliser ces revendications pour effectuer rapidement une vérification d'autorisation." }), "\n", _jsxs(Note, { children: [_jsx(_components.p, { children: "Il est important de noter que nous ne recommandons pas de compter entièrement sur les revendications personnalisées pour la vérification de l'autorisation." }), _jsx(_components.p, { children: "Étant donné que la mise en œuvre du RBAC suit le principe des privilèges les plus faibles, afin de garantir la sécurité, la vérification utilisant des revendications personnalisées doit être une vérification auxiliaire supplémentaire basée sur le RBAC. Cela vise à éviter l'extension de la portée des permissions d'autorisation des utilisateurs en raison de l'introduction de revendications personnalisées supplémentaires." })] }), "\n", _jsxs(_components.p, { children: ["Ici, nous fournissons la logique de Logto pour vérifier les jetons d'accès JWT côté API. La mise en œuvre complète du code peut être trouvée dans le ", _jsx(_components.a, { href: "https://github.com/logto-io/logto/blob/master/packages/core/src/middleware/koa-auth/index.ts", children: "dépôt GitHub" }), " :"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "import type { IncomingHttpHeaders } from 'node:http';\n\nimport { createLocalJWKSet, jwtVerify, type JWK } from 'jose';\n\nconst extractBearerTokenFromHeaders = (\n { authorization }: IncomingHttpHeaders\n) => {\n const bearerTokenIdentifier = 'Bearer';\n\n assertThat(\n authorization,\n new RequestError({\n code: 'auth.authorization_header_missing',\n status: 401\n })\n );\n assertThat(\n authorization.startsWith(bearerTokenIdentifier),\n new RequestError(\n { code: 'auth.authorization_token_type_not_supported', status: 401 },\n { supportedTypes: [bearerTokenIdentifier] }\n )\n );\n\n return authorization.slice(bearerTokenIdentifier.length + 1);\n};\n\nconst verifyBearerTokenFromRequest = async (\n publicJwks: JWT;\n issuer: string,\n request: Request,\n audience: Optional\n): Promise => {\n try {\n // Obtenez les JWK publics et l'émetteur.\n const [keys, issuer] = await getKeysAndIssuer();\n const { payload } = await jwtVerify(\n extractBearerTokenFromHeaders(request.headers),\n createLocalJWKSet({ keys }),\n {\n issuer,\n audience,\n }\n );\n\n const { sub, client_id: clientId, scope = '' } = payload;\n assertThat(sub,\n new RequestError({ code: 'auth.jwt_sub_missing', status: 401 }));\n\n return { sub, clientId, scopes: z.string().parse(scope).split(' ') };\n } catch (error: unknown) {\n if (error instanceof RequestError) {\n throw error;\n }\n\n throw new RequestError(\n { code: 'auth.unauthorized', status: 401 },\n error\n );\n }\n};\n" }) }), "\n", _jsxs(_components.p, { children: ["Vous pouvez vous référer à la logique de l'API Logto pour vérifier les jetons d'accès et la personnaliser en fonction de votre propre logique métier. Par exemple, pour le scénario de l'application d'assistant IA décrit ici, vous pouvez ajouter la logique de vérification des revendications personnalisées telles que ", _jsx(_components.code, { children: "roles" }), ", ", _jsx(_components.code, { children: "balance" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " et ", _jsx(_components.code, { children: "isPremiumUser" }), " dans la fonction ", _jsx(_components.code, { children: "verifyBearerTokenFromRequest" }), "."] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "const verifyBearerTokenFromRequest = async (\n publicJwks: JWT;\n issuer: string,\n request: Request,\n audience: Optional\n): Promise => {\n try {\n // Obtenez les JWK publics et l'émetteur.\n const [keys, issuer] = await getKeysAndIssuer();\n const { payload } = await jwtVerify(\n extractBearerTokenFromHeaders(request.headers),\n createLocalJWKSet({ keys }),\n {\n issuer,\n audience,\n }\n );\n\n const {\n sub,\n client_id: clientId,\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser,\n scope = ''\n } = payload;\n assertThat(sub,\n new RequestError({ code: 'auth.jwt_sub_missing', status: 401 }));\n\n return {\n sub,\n clientId,\n scopes: z.string().parse(scope).split(' '),\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser\n };\n } catch (error: unknown) {\n if (error instanceof RequestError) {\n throw error;\n }\n\n throw new RequestError({ code: 'auth.unauthorized', status: 401 }, error);\n }\n};\n\nconst authorizeBearerTokenPayload = (\n payload: Payload,\n requiredScopes: string[],\n requiredRoles: string[]\n): void => {\n const {\n scope,\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser\n } = payload;\n const scopes: string[] = scope.split(' ');\n\n // Validation RBAC.\n /**\n * `free-user` n'a pas le champ d'application `predict:stock`, donc si l'API nécessite\n * le champ d'application `predict:stock`, la demande sera rejetée directement.\n */\n assertThat(\n requiredScopes.every((scope) => payload.scopes.includes(scope)),\n new RequestError(\n { code: 'auth.insufficient_scope', status: 403 },\n { requiredScopes })\n );\n\n /** Validation des revendications supplémentaires dans le `payload`. */\n assertThat(\n roles.includes('paid-user') && isPaidUser,\n new RequestError({ code: 'auth.role_mismatch', status: 403 }));\n // Supposons que la limite d'appels quotidiens est de 100.\n assertThat(\n numOfCallsToday < 100,\n new RequestError({ code: 'auth.rate_limit_exceeded', status: 403 }));\n // Pas besoin de vérifier le `balance` des utilisateurs premium.\n if (isPremiumUser) {\n return;\n }\n // Peut accéder au service uniquement lorsque le solde est positif.\n assertThat(\n balance > 0,\n new RequestError({ code: 'auth.balance_insufficient', status: 403 }));\n /** Validation des revendications supplémentaires dans le `payload`. */\n};\n" }) }), "\n", _jsx(_components.p, { children: "L'exemple ci-dessus concerne le scénario où il affecte la connexion de l'utilisateur final et l'obtention du jeton d'accès JWT. Si votre cas d'utilisation est machine-à-machine (M2M), vous pouvez également configurer les revendications JWT personnalisées pour les applications M2M séparément." }), "\n", _jsx(_components.p, { children: "La configuration des JWT personnalisés pour les utilisateurs n'affectera pas le résultat des applications M2M obtenant des jetons d'accès, et vice versa." }), "\n", _jsxs(_components.p, { children: ["En raison de la généralité des connexions M2M, Logto ne fournit actuellement pas la fonction permettant à la méthode ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " des applications M2M d'accepter les données internes de Logto. Pour d'autres aspects, la méthode de configuration des JWT personnalisés pour les applications M2M est la même que pour les applications utilisateur. Cet article ne s'étendra pas sur ce sujet. Vous pouvez utiliser la fonctionnalité JWT personnalisé de Logto pour commencer."] }), "\n", _jsxs(_components.h3, { id: "pourquoi-utiliser-des-revendications-jwt-personnalisées-", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#pourquoi-utiliser-des-revendications-jwt-personnalisées-", children: _jsx(_components.span, { children: "#" }) }), "Pourquoi utiliser des revendications JWT personnalisées ?"] }), "\n", _jsx(_components.p, { children: "Nous avons fourni le scénario de l'application d'assistant IA pour John et comment utiliser la fonctionnalité JWT personnalisé de Logto pour réaliser une vérification d'autorisation plus flexible. Dans ce processus, nous pouvons voir les avantages de la fonctionnalité JWT personnalisé :" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: ["Sans la fonctionnalité JWT personnalisé, les utilisateurs doivent demander une API externe (comme ce que vous faites dans ", _jsx(_components.code, { children: "getCustomJwtClaims" }), ") à chaque fois qu'ils vérifient les permissions. Pour le fournisseur de services qui fournit cette API, cela peut augmenter la charge supplémentaire. Avec la fonctionnalité JWT personnalisé, ces informations peuvent être mises directement dans le JWT, réduisant les appels fréquents à l'API externe."] }), "\n", _jsx(_components.li, { children: "Pour les fournisseurs de services, la fonctionnalité JWT personnalisé peut les aider à vérifier plus rapidement les permissions des utilisateurs, en particulier lorsque le client appelle fréquemment le fournisseur de services, améliorant ainsi les performances des services." }), "\n", _jsx(_components.li, { children: "La fonctionnalité JWT personnalisé peut vous aider à mettre en œuvre rapidement des informations d'autorisation supplémentaires requises par le métier, et les informations peuvent être transmises entre le client et le fournisseur de services de manière sécurisée puisque le JWT est autonome et peut être crypté de manière à ce qu'il soit difficile à falsifier." }), "\n"] }), "\n", _jsx(Info, { children: _jsx(_components.p, { children: "Il est important de noter que, comme nous l'avons mentionné dans un article de blog précédent, une fois qu'un jeton d'accès JWT est émis,\nil ne changera pas pendant sa période de validité. Par conséquent, les informations contenues dans\nles revendications JWT personnalisées doivent être combinées avec les besoins réels du métier et éviter d'inclure des informations\nimportantes pour l'autorisation mais qui changent de manière drastique pendant la période de validité du\njeton d'accès." }) }), "\n", _jsxs(_components.p, { children: ["En même temps, puisque ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " est exécuté chaque fois que l'utilisateur a besoin que Logto émette un jeton d'accès, il est nécessaire d'éviter d'exécuter une logique trop complexe et des requêtes vers des APIs externes avec des exigences de bande passante élevées. Sinon, cela pourrait prendre trop longtemps pour que les utilisateurs finaux attendent le résultat de ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " pendant le processus de connexion. Si votre ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " retourne un objet vide, nous vous recommandons vivement de supprimer temporairement cet élément de configuration jusqu'à ce que vous en ayez réellement besoin."] }), "\n", _jsxs(_components.h2, { id: "conclusion", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#conclusion", children: _jsx(_components.span, { children: "#" }) }), "Conclusion"] }), "\n", _jsx(_components.p, { children: "Dans cet article, Logto a étendu le jeton d'accès JWT de base et a étendu la fonction des revendications supplémentaires JWT pour permettre aux utilisateurs d'insérer des informations supplémentaires sur l'utilisateur final dans le jeton d'accès JWT en fonction de leurs besoins métier, afin qu'après que l'utilisateur se soit connecté, les permissions de l'utilisateur puissent être rapidement vérifiées." }), "\n", _jsx(_components.p, { children: "Nous fournissons le scénario de l'application d'assistant IA de John et montrons comment utiliser la fonctionnalité JWT personnalisé de Logto pour réaliser une vérification d'autorisation plus flexible. Nous avons également souligné certains points clés de l'utilisation des revendications JWT personnalisées. En combinaison avec des scénarios métier réels, les utilisateurs peuvent insérer diverses informations liées aux utilisateurs dans le jeton d'accès JWT en fonction de leurs besoins, de sorte que le fournisseur de services puisse rapidement vérifier les permissions de l'utilisateur." }), "\n", _jsx(LogtoCloudButton, {})] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }