"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "come-funziona-la-personalizzazione-dei-reclami-jwt-in-logto", "hProperties": { "id": "come-funziona-la-personalizzazione-dei-reclami-jwt-in-logto" } }, "depth": 2, "value": "Come funziona la personalizzazione dei reclami JWT in Logto?" }, { "data": { "id": "potenzia-la-tua-autorizzazione-con-reclami-jwt-personalizzati-un-esempio-pratico", "hProperties": { "id": "potenzia-la-tua-autorizzazione-con-reclami-jwt-personalizzati-un-esempio-pratico" } }, "depth": 2, "value": "Potenzia la tua autorizzazione con reclami JWT personalizzati: un esempio pratico" }, { "data": { "id": "configurazione-dello-scenario", "hProperties": { "id": "configurazione-dello-scenario" } }, "depth": 3, "value": "Configurazione dello scenario" }, { "data": { "id": "configurazioni-di-logto", "hProperties": { "id": "configurazioni-di-logto" } }, "depth": 3, "value": "Configurazioni di Logto" }, { "data": { "id": "controlla-se-la-funzione-jwt-personalizzata-è-attiva", "hProperties": { "id": "controlla-se-la-funzione-jwt-personalizzata-è-attiva" } }, "depth": 3, "value": "Controlla se la funzione JWT personalizzata è attiva" }, { "data": { "id": "aggiorna-la-logica-di-autorizzazione-del-fornitore-di-servizi", "hProperties": { "id": "aggiorna-la-logica-di-autorizzazione-del-fornitore-di-servizi" } }, "depth": 3, "value": "Aggiorna la logica di autorizzazione del fornitore di servizi" }, { "data": { "id": "perché-utilizzare-reclami-jwt-personalizzati", "hProperties": { "id": "perché-utilizzare-reclami-jwt-personalizzati" } }, "depth": 3, "value": "Perché utilizzare reclami JWT personalizzati?" }, { "data": { "id": "conclusione", "hProperties": { "id": "conclusione" } }, "depth": 2, "value": "Conclusione" }]; const readingTime = { "minutes": 9, "words": 2567, "text": "9 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", code: "code", h2: "h2", h3: "h3", li: "li", ol: "ol", p: "p", pre: "pre", span: "span", ul: "ul", ..._provideComponents(), ...props.components }, {Info, LogtoCloudButton, Note} = _components; if (!Info) _missingMdxReference("Info", true); if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); if (!Note) _missingMdxReference("Note", true); return _jsxs(_Fragment, { children: [_jsx(_components.p, { children: "Negli articoli precedenti, abbiamo menzionato che sempre più sistemi stanno utilizzando token di accesso in formato JWT per l'autenticazione degli utenti e il controllo degli accessi. Uno dei motivi importanti per questo è che JWT può contenere alcune informazioni utili, come i ruoli e i permessi degli utenti. Queste informazioni possono aiutarci a trasmettere le informazioni sull'identità dell'utente tra il server e il client, raggiungendo così l'autenticazione degli utenti e il controllo degli accessi." }), "\n", _jsxs(_components.p, { children: ["Di solito, le informazioni contenute in JWT sono determinate dal server di autenticazione. Secondo il protocollo OAuth 2.0, JWT di solito contiene campi come ", _jsx(_components.code, { children: "sub" }), " (soggetto), ", _jsx(_components.code, { children: "aud" }), " (pubblico) e ", _jsx(_components.code, { children: "exp" }), " (tempo di scadenza), che sono comunemente noti come reclami. Questi reclami possono aiutare a verificare la validità del token di accesso."] }), "\n", _jsx(_components.p, { children: "Tuttavia, ci sono innumerevoli scenari in cui JWT viene utilizzato per la verifica, e i reclami comuni del JWT potrebbero spesso non soddisfare le esigenze degli utenti. Le persone spesso pensano che, poiché JWT può contenere alcune informazioni, possiamo aggiungere alcune informazioni per rendere l'autorizzazione più semplice?" }), "\n", _jsx(_components.p, { children: "La risposta è SÌ, possiamo aggiungere reclami personalizzati a JWT, come l'ambito attuale e il livello di abbonamento dell'utente. In questo modo, possiamo trasmettere le informazioni sull'identità dell'utente tra il client e il server (qui si fa riferimento al server che fornisce vari servizi diversi, chiamato anche fornitore di servizi), per ottenere l'autenticazione degli utenti e il controllo degli accessi." }), "\n", _jsxs(_components.p, { children: ["Per i reclami JWT standard, fai riferimento a ", _jsx(_components.a, { href: "https://datatracker.ietf.org/doc/html/rfc7519", children: "RFC7519" }), ". Logto, come soluzione di identità che supporta sia l'autenticazione che l'autorizzazione, ha esteso i reclami delle risorse e dell'ambito su questa base per supportare il ", _jsx(_components.a, { href: "https://docs.logto.io/docs/recipes/rbac/", children: "RBAC" }), " standard. Anche se l'implementazione RBAC di Logto è standard, non è sufficientemente semplice e flessibile da adattarsi a tutti i casi d'uso."] }), "\n", _jsx(_components.p, { children: "In base a ciò, Logto ha lanciato una nuova funzionalità di personalizzazione dei reclami JWT, che consente agli utenti di personalizzare reclami JWT aggiuntivi, in modo che l'autenticazione degli utenti e il controllo degli accessi possano essere implementati in modo più flessibile." }), "\n", _jsx(LogtoCloudButton, {}), "\n", _jsxs(_components.h2, { id: "come-funziona-la-personalizzazione-dei-reclami-jwt-in-logto", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#come-funziona-la-personalizzazione-dei-reclami-jwt-in-logto", children: _jsx(_components.span, { children: "#" }) }), "Come funziona la personalizzazione dei reclami JWT in Logto?"] }), "\n", _jsx(_components.p, { children: "Puoi accedere alla pagina di elenchi dei JWT personalizzati facendo clic sul pulsante \"JWT claims\" nella barra laterale." }), "\n", _jsx("center", { children: _jsx("img", { alt: "pagina-di-elenchi-jwt-personalizzati", src: "https://uploads.strapi.logto.io/1/custom_jwt_listing_page_f56a88c98f.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Iniziamo ad aggiungere reclami personalizzati per gli utenti finali." }), "\n", _jsxs(_components.p, { children: ["Nell'editor a sinistra, puoi personalizzare la tua funzione ", _jsx(_components.code, { children: "getCustomJwtClaims" }), ". Questo metodo ha tre parametri di input: ", _jsx(_components.code, { children: "token" }), ", ", _jsx(_components.code, { children: "data" }), " e ", _jsx(_components.code, { children: "envVariables" }), "."] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "token" }), " è il payload grezzo del token di accesso ottenuto in base alle credenziali dell'utente finale corrente e alla configurazione del tuo sistema, e all'informazione relativa all'accesso dell'utente in Logto."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "data" }), " è tutte le informazioni sull'utente in Logto, inclusi tutti i ruoli dell'utente, le identità di accesso social, le identità SSO, le appartenenze alle organizzazioni, ecc."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "envVariables" }), " sono le variabili d'ambiente che hai configurato in Logto per lo scenario di utilizzo del token di accesso dell'utente finale corrente, come la/le chiave e API degli API esterni richiesti, ecc."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "dettagli-pagina-dati-utente", src: "https://uploads.strapi.logto.io/1/details_page_user_data_a92388f24a.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Le schede a destra possono essere espanse per mostrare l'introduzione dei parametri corrispondenti, e puoi anche impostare le variabili d'ambiente per lo scenario corrente qui." }), "\n", _jsx("center", { children: _jsx("img", { alt: "dettagli-pagina-test-utente", src: "https://uploads.strapi.logto.io/1/details_page_user_test_93932f6e66.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Dopo aver letto le introduzioni di tutte le schede a destra, puoi passare alla modalità di test, dove puoi modificare i dati di test e utilizzare i dati modificati per verificare se il comportamento dello script che hai scritto nell'editor di codice a sinistra soddisfa le tue aspettative." }), "\n", _jsxs(_components.p, { children: ["Questo è un diagramma di sequenza che mostra il processo di esecuzione della funzione ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " quando un utente finale avvia una richiesta di autenticazione a Logto e alla fine ottiene il token di accesso in formato JWT restituito da Logto."] }), "\n", _jsxs(_components.p, { children: ["Se la funzione JWT personalizzata non è abilitata, il passaggio 3 nella figura verrà saltato e il passaggio 4 verrà eseguito subito dopo il passaggio 2. A questo punto, Logto assumerà che il valore di ritorno di ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " sia un oggetto vuoto, e quindi continuerà a eseguire i passaggi successivi."] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n participant U as Utente o agente utente\n participant IdP as Logto (fornitore di identità)\n participant SP as Fornitore di servizi\n\n autonumber\n U ->> IdP: Richiesta di autenticazione (con credenziali)\n activate IdP\n IdP-->>IdP: Convalida le credenziali e
genera il payload grezzo del token di accesso\n rect rgb(191, 223, 255)\n note over IdP: JWT personalizzato\n IdP->>IdP: Esegui script reclami JWT personalizzati (`getCustomJwtClaims`) e
ottieni reclami JWT extra\n end\n IdP-->>IdP: Unisci payload del token di accesso grezzo e reclami JWT extra\n IdP-->>IdP: Firma e cripta il payload per ottenere il token di accesso JWT\n deactivate IdP\n IdP-->>U: Emetti token di accesso in formato JWT\n par Ottieni servizio tramite API\n U->>SP: Richiesta di servizio (con token di accesso JWT)\n SP-->>U: Risposta del servizio\n end\n" }) }), "\n", _jsx(Note, { children: _jsxs(_components.p, { children: ["Per motivi di sicurezza, se i reclami JWT restituiti dalla funzione ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " di Logto\nesistono già nel payload del token di accesso, questi reclami NON avranno effetto e NON saranno\nin grado di sovrascrivere i reclami esistenti."] }) }), "\n", _jsxs(_components.h2, { id: "potenzia-la-tua-autorizzazione-con-reclami-jwt-personalizzati-un-esempio-pratico", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#potenzia-la-tua-autorizzazione-con-reclami-jwt-personalizzati-un-esempio-pratico", children: _jsx(_components.span, { children: "#" }) }), "Potenzia la tua autorizzazione con reclami JWT personalizzati: un esempio pratico"] }), "\n", _jsx(_components.p, { children: "Nella sezione precedente, abbiamo introdotto il principio di funzionamento del Logto JWT personalizzato. In questa parte, ti mostreremo come utilizzare i reclami personalizzati di Logto per migliorare la flessibilità dell'autorizzazione e le prestazioni del fornitore di servizi attraverso un esempio reale." }), "\n", _jsxs(_components.h3, { id: "configurazione-dello-scenario", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#configurazione-dello-scenario", children: _jsx(_components.span, { children: "#" }) }), "Configurazione dello scenario"] }), "\n", _jsx(_components.p, { children: "Il team di John ha sviluppato un'App Assistente AI che consente agli utenti di conversare con robot AI per ottenere vari servizi." }), "\n", _jsx(_components.p, { children: "I servizi robot AI sono divisi in servizi gratuiti e a pagamento. I servizi gratuiti includono raccomandazioni speciali per tariffe aeree, mentre i servizi a pagamento includono previsioni sulle azioni." }), "\n", _jsx(_components.p, { children: "L'App Assistente AI utilizza Logto per gestire tutti gli utenti, che sono divisi in tre tipi: utenti gratuiti, utenti prepagati e utenti premium. Gli utenti gratuiti possono utilizzare solo servizi gratuiti, gli utenti prepagati possono utilizzare tutti i servizi (addebito in base all'utilizzo), e gli utenti premium possono utilizzare tutti i servizi (ma hanno limiti di velocità per prevenire usi dannosi)." }), "\n", _jsx(_components.p, { children: "Inoltre, l'App Assistente AI utilizza Stripe per gestire i pagamenti degli utenti e ha il proprio servizio di log per registrare i log delle operazioni degli utenti." }), "\n", _jsxs(_components.h3, { id: "configurazioni-di-logto", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#configurazioni-di-logto", children: _jsx(_components.span, { children: "#" }) }), "Configurazioni di Logto"] }), "\n", _jsxs(_components.p, { children: ["Per prima cosa, creiamo risorse API per il servizio App Assistente AI e creiamo due ambiti, ", _jsx(_components.code, { children: "recommend:flight" }), " e ", _jsx(_components.code, { children: "predict:stock" }), "."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "risorsa-app-assistente-ai", src: "https://uploads.strapi.logto.io/1/ai_assistant_app_resource_e3c2ee0f03.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Quindi creiamo due ", _jsx(_components.code, { children: "ruoli" }), ", ", _jsx(_components.code, { children: "free-user" }), " e ", _jsx(_components.code, { children: "paid-user" }), ", e assegniamo gli ambiti corrispondenti:"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: ["Assegna l'ambito ", _jsx(_components.code, { children: "recommend:flight" }), " al ruolo ", _jsx(_components.code, { children: "free-user" }), "."] }), "\n", _jsxs(_components.li, { children: ["Assegna entrambi gli ambiti ", _jsx(_components.code, { children: "recommend:flight" }), " e ", _jsx(_components.code, { children: "predict:stock" }), " al ruolo ", _jsx(_components.code, { children: "paid-user" }), "."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "ruolo-free-user", src: "https://uploads.strapi.logto.io/1/free_user_role_153a0277ba.webp", width: "800" }) }), "\n", _jsx("center", { children: _jsx("img", { alt: "ruolo-paid-user", src: "https://uploads.strapi.logto.io/1/paid_user_role_d2fa9f5db6.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Infine, creiamo tre utenti, ", _jsx(_components.code, { children: "free-user" }), ", ", _jsx(_components.code, { children: "prepaid-user" }), " e ", _jsx(_components.code, { children: "premium-user" }), ", e assegniamo i ruoli corrispondenti:"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: ["Assegna il ruolo ", _jsx(_components.code, { children: "free-user" }), " all'utente ", _jsx(_components.code, { children: "free-user" }), "."] }), "\n", _jsxs(_components.li, { children: ["Assegna il ruolo ", _jsx(_components.code, { children: "paid-user" }), " agli utenti ", _jsx(_components.code, { children: "prepaid-user" }), " e ", _jsx(_components.code, { children: "premium-user" }), "."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "assegna-ruolo-free-user", src: "https://uploads.strapi.logto.io/1/assign_free_user_role_f7d37cb5c9.webp", width: "800" }) }), "\n", _jsx("center", { children: _jsx("img", { alt: "assegna-ruolo-paid-user", src: "https://uploads.strapi.logto.io/1/assign_paid_user_role_2dbfd74d6e.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Come mostrato nella figura seguente, per implementare le informazioni di autorizzazione richieste per lo scenario descritto sopra, speriamo di includere le informazioni su ", _jsx(_components.code, { children: "ruoli" }), ", ", _jsx(_components.code, { children: "saldo" }), " e ", _jsx(_components.code, { children: "numOfCallsToday" }), " dell'utente attualmente autenticato nel JWT. Quando si verifica il token di accesso nell'App Assistente AI, queste informazioni possono essere utilizzate per eseguire rapidamente la verifica dei permessi."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "test-reclami-jwt-personalizzati", src: "https://uploads.strapi.logto.io/1/test_custom_jwt_claims_3fcd4c2004.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Dopo aver configurato gli ", _jsx(_components.code, { children: "envVariables" }), ", implementiamo la funzione ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " e clicchiamo sul pulsante \"Esegui test\" per vedere il risultato dei reclami JWT extra in base ai dati di test attuali."] }), "\n", _jsxs(_components.p, { children: ["Poiché non abbiamo configurato i dati di test per ", _jsx(_components.code, { children: "data.user.roles" }), ", i ", _jsx(_components.code, { children: "roles" }), " mostrati nel risultato sono un array vuoto."] }), "\n", _jsxs(_components.h3, { id: "controlla-se-la-funzione-jwt-personalizzata-è-attiva", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#controlla-se-la-funzione-jwt-personalizzata-è-attiva", children: _jsx(_components.span, { children: "#" }) }), "Controlla se la funzione JWT personalizzata è attiva"] }), "\n", _jsxs(_components.p, { children: ["Secondo la configurazione di Logto di cui sopra, abbiamo ottenuto i risultati corrispondenti nel test. Successivamente, utilizzeremo l'app di esempio fornita da Logto per verificare se il nostro JWT personalizzato è efficace. Trova l'SDK con cui hai familiarità su ", _jsx(_components.a, { href: "https://docs.logto.io/sdk/", children: "Logto SDKs" }), " e distribuisci un'app di esempio seguendo la documentazione e il corrispondente repository GitHub."] }), "\n", _jsxs(_components.p, { children: ["In base alla configurazione descritta sopra, prendendo ad esempio il ", _jsx(_components.a, { href: "https://docs.logto.io/sdk/react/", children: "React SDK" }), ", dobbiamo aggiornare la configurazione corrispondente in LogtoConfig:"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "import { LogtoProvider, LogtoConfig, UserScope } from '@logto/react';\n\nconst config: LogtoConfig = {\n appId,\n endpoint,\n scopes: [\n UserScope.Email,\n UserScope.Phone,\n UserScope.CustomData,\n UserScope.Identities,\n UserScope.Organizations,\n \"recommend:flight\",\n \"predict:stock\",\n ],\n resources: [\"https://api.aiassistant.app/v1\"]\n};\n\nconst App = () => (\n \n \n \n);\n" }) }), "\n", _jsxs(_components.p, { children: ["Dopo aver effettuato l'accesso all'utente ", _jsx(_components.code, { children: "free_user" }), " nell'app di esempio che simula l'App Assistente AI, possiamo vedere le informazioni su ", _jsx(_components.code, { children: "ruoli" }), ", ", _jsx(_components.code, { children: "saldo" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " e ", _jsx(_components.code, { children: "isPremiumUser" }), " che abbiamo aggiunto visualizzando la parte del payload del token di accesso JWT."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "anteprima-token-di-accesso-dell'app-di-esempio-gratuito", src: "https://uploads.strapi.logto.io/1/sample_app_access_token_preview_free_117a8594c8.webp", width: "400" }) }), "\n", _jsxs(_components.p, { children: ["I valori di ", _jsx(_components.code, { children: "saldo" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " e ", _jsx(_components.code, { children: "isPremiumUser" }), " sono coerenti con il test precedente, e ", _jsx(_components.code, { children: "roles" }), " è uguale a ", _jsx(_components.code, { children: "[\"free-user\"]" }), ". Questo perché nel processo di accesso reale dell'utente finale, otterremo tutti i dati accessibili dell'utente e li elaboreremo di conseguenza."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "anteprima-token-di-accesso-dell'app-di-esempio-premium", src: "https://uploads.strapi.logto.io/1/sample_app_access_token_preview_premium_673f6f3db1.webp", width: "400" }) }), "\n", _jsxs(_components.p, { children: ["Per gli utenti premium, possiamo vedere che ", _jsx(_components.code, { children: "roles" }), " è ", _jsx(_components.code, { children: "[\"paid-user\"]" }), " e sia ", _jsx(_components.code, { children: "isPaidUser" }), " che ", _jsx(_components.code, { children: "isPremiumUser" }), " sono ", _jsx(_components.code, { children: "true" }), "."] }), "\n", _jsxs(_components.h3, { id: "aggiorna-la-logica-di-autorizzazione-del-fornitore-di-servizi", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#aggiorna-la-logica-di-autorizzazione-del-fornitore-di-servizi", children: _jsx(_components.span, { children: "#" }) }), "Aggiorna la logica di autorizzazione del fornitore di servizi"] }), "\n", _jsx(_components.p, { children: "Nei passaggi precedenti, abbiamo aggiunto reclami personalizzati basati sulle esigenze aziendali al token di accesso degli utenti. Successivamente, possiamo utilizzare questi reclami per eseguire rapidamente la verifica dell'autorizzazione." }), "\n", _jsxs(Note, { children: [_jsx(_components.p, { children: "È importante notare che non raccomandiamo di fare affidamento esclusivamente sui reclami personalizzati per la verifica dell'autorizzazione." }), _jsx(_components.p, { children: "Poiché l'implementazione del RBAC segue il principio del privilegio minimo, per garantire la sicurezza, la verifica utilizzando i reclami personalizzati dovrebbe essere una verifica ausiliaria aggiuntiva basata su RBAC. Questo per evitare di espandere la portata dei permessi di autorizzazione dell'utente a causa dell'introduzione di reclami personalizzati aggiuntivi." })] }), "\n", _jsxs(_components.p, { children: ["Qui forniamo la logica di Logto per la verifica dei token di accesso JWT sul lato API. L'implementazione completa del codice può essere trovata nel ", _jsx(_components.a, { href: "https://github.com/logto-io/logto/blob/master/packages/core/src/middleware/koa-auth/index.ts", children: "repository GitHub" }), ":"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "import type { IncomingHttpHeaders } from 'node:http';\n\nimport { createLocalJWKSet, jwtVerify, type JWK } from 'jose';\n\nconst extractBearerTokenFromHeaders = (\n { authorization }: IncomingHttpHeaders\n) => {\n const bearerTokenIdentifier = 'Bearer';\n\n assertThat(\n authorization,\n new RequestError({\n code: 'auth.authorization_header_missing',\n status: 401\n })\n );\n assertThat(\n authorization.startsWith(bearerTokenIdentifier),\n new RequestError(\n { code: 'auth.authorization_token_type_not_supported', status: 401 },\n { supportedTypes: [bearerTokenIdentifier] }\n )\n );\n\n return authorization.slice(bearerTokenIdentifier.length + 1);\n};\n\nconst verifyBearerTokenFromRequest = async (\n publicJwks: JWT;\n issuer: string,\n request: Request,\n audience: Optional\n): Promise => {\n try {\n // Ottieni le chiavi pubbliche JWKs e l'emittente.\n const [keys, issuer] = await getKeysAndIssuer();\n const { payload } = await jwtVerify(\n extractBearerTokenFromHeaders(request.headers),\n createLocalJWKSet({ keys }),\n {\n issuer,\n audience,\n }\n );\n\n const { sub, client_id: clientId, scope = '' } = payload;\n assertThat(sub,\n new RequestError({ code: 'auth.jwt_sub_missing', status: 401 }));\n\n return { sub, clientId, scopes: z.string().parse(scope).split(' ') };\n } catch (error: unknown) {\n if (error instanceof RequestError) {\n throw error;\n }\n\n throw new RequestError(\n { code: 'auth.unauthorized', status: 401 },\n error\n );\n }\n};\n" }) }), "\n", _jsxs(_components.p, { children: ["Puoi fare riferimento alla logica dell'API di Logto per verificare i token di accesso e personalizzarla in base alla tua logica aziendale. Ad esempio, per lo scenario dell'App Assistente AI descritto qui, puoi aggiungere la logica di verifica per reclami personalizzati come ", _jsx(_components.code, { children: "ruoli" }), ", ", _jsx(_components.code, { children: "saldo" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " e ", _jsx(_components.code, { children: "isPremiumUser" }), " nella funzione ", _jsx(_components.code, { children: "verifyBearerTokenFromRequest" }), "."] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "const verifyBearerTokenFromRequest = async (\n publicJwks: JWT;\n issuer: string,\n request: Request,\n audience: Optional\n): Promise => {\n try {\n // Ottieni le chiavi pubbliche JWKs e l'emittente.\n const [keys, issuer] = await getKeysAndIssuer();\n const { payload } = await jwtVerify(\n extractBearerTokenFromHeaders(request.headers),\n createLocalJWKSet({ keys }),\n {\n issuer,\n audience,\n }\n );\n\n const {\n sub,\n client_id: clientId,\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser,\n scope = ''\n } = payload;\n assertThat(sub,\n new RequestError({ code: 'auth.jwt_sub_missing', status: 401 }));\n\n return {\n sub,\n clientId,\n scopes: z.string().parse(scope).split(' '),\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser\n };\n } catch (error: unknown) {\n if (error instanceof RequestError) {\n throw error;\n }\n\n throw new RequestError({ code: 'auth.unauthorized', status: 401 }, error);\n }\n};\n\nconst authorizeBearerTokenPayload = (\n payload: Payload,\n requiredScopes: string[],\n requiredRoles: string[]\n): void => {\n const {\n scope,\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser\n } = payload;\n const scopes: string[] = scope.split(' ');\n\n // Validazione RBAC.\n /**\n * `free-user` non ha l'ambito `predict:stock`, quindi se l'API richiede\n * l'ambito `predict:stock`, la richiesta verrà direttamente respinta.\n */\n assertThat(\n requiredScopes.every((scope) => payload.scopes.includes(scope)),\n new RequestError(\n { code: 'auth.insufficient_scope', status: 403 },\n { requiredScopes })\n );\n\n /** Validazione su reclami extra nel `payload`. */\n assertThat(\n roles.includes('paid-user') && isPaidUser,\n new RequestError({ code: 'auth.role_mismatch', status: 403 }));\n // Supponi che il limite di chiamate giornaliere sia 100.\n assertThat(\n numOfCallsToday < 100,\n new RequestError({ code: 'auth.rate_limit_exceeded', status: 403 }));\n // Non è necessario controllare il `saldo` degli utenti premium.\n if (isPremiumUser) {\n return;\n }\n // Può accedere al servizio solo quando il saldo è positivo.\n assertThat(\n balance > 0,\n new RequestError({ code: 'auth.balance_insufficient', status: 403 }));\n /** Validazione su reclami extra nel `payload`. */\n};\n" }) }), "\n", _jsx(_components.p, { children: "L'esempio sopra è per lo scenario in cui influisce sull'accesso dell'utente finale e sull'ottenimento del token di accesso JWT. Se il tuo caso d'uso è macchina a macchina (M2M), puoi anche configurare separatamente i reclami JWT personalizzati per le app M2M." }), "\n", _jsx(_components.p, { children: "Configurare JWT personalizzati per gli utenti non influirà sul risultato dell'ottenimento dei token di accesso delle app M2M, e viceversa." }), "\n", _jsxs(_components.p, { children: ["A causa della generalità delle connessioni M2M, Logto non fornisce attualmente la funzione del metodo ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " delle app M2M per accettare dati interni da Logto. Per altri aspetti, il metodo di configurazione dei JWT personalizzati per le app M2M è lo stesso di quello delle app utente. Questo articolo non ne parlerà in dettaglio. Puoi utilizzare la funzione JWT personalizzata di Logto per iniziare."] }), "\n", _jsxs(_components.h3, { id: "perché-utilizzare-reclami-jwt-personalizzati", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#perché-utilizzare-reclami-jwt-personalizzati", children: _jsx(_components.span, { children: "#" }) }), "Perché utilizzare reclami JWT personalizzati?"] }), "\n", _jsx(_components.p, { children: "Abbiamo fornito lo scenario dell'App Assistente AI per John e come utilizzare la funzione JWT Personalizzata di Logto per ottenere una verifica dell'autorizzazione più flessibile. Durante questo processo, possiamo vedere i vantaggi della funzione JWT Personalizzata:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: ["Senza la funzione JWT Personalizzata, gli utenti devono richiedere un'API esterna (come fai in ", _jsx(_components.code, { children: "getCustomJwtClaims" }), ") ogni volta che verificano i permessi. Per il fornitore di servizi che fornisce questa API, ciò potrebbe aumentare il carico extra. Con la funzione JWT Personalizzata, queste informazioni possono essere messe direttamente all'interno di JWT, riducendo le chiamate frequenti all'API esterna."] }), "\n", _jsx(_components.li, { children: "Per i fornitori di servizi, la funzione JWT Personalizzata può aiutarli a verificare i permessi degli utenti più velocemente, specialmente quando il client chiama frequentemente il fornitore di servizi, migliorando le prestazioni del servizio." }), "\n", _jsx(_components.li, { children: "La funzione JWT Personalizzata può aiutarti a implementare rapidamente informazioni aggiuntive di autorizzazione richieste dall'azienda, e le informazioni possono essere trasmesse tra il client e il fornitore di servizi in modo sicuro poiché JWT è autonomo e può essere criptato, quindi è difficile da falsificare." }), "\n"] }), "\n", _jsx(Info, { children: _jsx(_components.p, { children: "È importante notare che, come abbiamo menzionato in un post precedente, una volta emesso un token di\naccesso JWT, non cambierà durante il suo periodo di validità. Pertanto, le informazioni\ncontenute nei reclami JWT personalizzati dovrebbero essere combinate con le esigenze aziendali reali, evitando\ndi includere informazioni che sono importanti per l'autorizzazione ma che cambiano drasticamente durante il\nperiodo di validità del token di accesso." }) }), "\n", _jsxs(_components.p, { children: ["Allo stesso tempo, poiché ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " viene eseguito ogni volta che un utente ha bisogno che Logto emetta un token di accesso, è necessario evitare di eseguire logiche e richieste di API esterne troppo complesse con elevate esigenze di banda. Altrimenti, potrebbe volerci troppo tempo perché l'utente finale attenda il risultato di ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " durante il processo di accesso. Se il tuo ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " restituisce un oggetto vuoto, ti raccomandiamo fortemente di eliminare temporaneamente questo elemento di configurazione fino a quando non avrai effettivamente bisogno di utilizzarlo."] }), "\n", _jsxs(_components.h2, { id: "conclusione", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#conclusione", children: _jsx(_components.span, { children: "#" }) }), "Conclusione"] }), "\n", _jsx(_components.p, { children: "In questo articolo, Logto ha esteso il token di accesso JWT di base e ha ampliato la funzione di reclami JWT extra per consentire agli utenti di inserire informazioni aggiuntive sull'utente finale nel token di accesso JWT in base alle proprie esigenze aziendali, in modo che dopo il login dell'utente, i permessi dell'utente possano essere verificati rapidamente." }), "\n", _jsx(_components.p, { children: "Abbiamo fornito lo scenario dell'App Assistente AI di John e dimostrato come utilizzare la funzione JWT Personalizzata di Logto per ottenere una verifica dell'autorizzazione più flessibile. Abbiamo anche evidenziato alcuni punti chiave dell'uso dei JWT personalizzati. In combinazione con scenari aziendali reali, gli utenti possono inserire varie informazioni relative all'utente nel token di accesso JWT in base alle loro esigenze aziendali, in modo che il fornitore di servizi possa verificare rapidamente i permessi dell'utente." }), "\n", _jsx(LogtoCloudButton, {})] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }