"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "logto-のカスタム-jwt-クレームはどのように機能するのか", "hProperties": { "id": "logto-のカスタム-jwt-クレームはどのように機能するのか" } }, "depth": 2, "value": "Logto のカスタム JWT クレームはどのように機能するのか？" }, { "data": { "id": "カスタム-jwt-クレームを使用して認可を強化する-実践的な例", "hProperties": { "id": "カスタム-jwt-クレームを使用して認可を強化する-実践的な例" } }, "depth": 2, "value": "カスタム JWT クレームを使用して認可を強化する: 実践的な例" }, { "data": { "id": "シナリオの設定", "hProperties": { "id": "シナリオの設定" } }, "depth": 3, "value": "シナリオの設定" }, { "data": { "id": "logto-設定", "hProperties": { "id": "logto-設定" } }, "depth": 3, "value": "Logto 設定" }, { "data": { "id": "カスタム-jwt-機能が有効かどうかの確認", "hProperties": { "id": "カスタム-jwt-機能が有効かどうかの確認" } }, "depth": 3, "value": "カスタム JWT 機能が有効かどうかの確認" }, { "data": { "id": "サービスプロバイダーの認可ロジックを更新する", "hProperties": { "id": "サービスプロバイダーの認可ロジックを更新する" } }, "depth": 3, "value": "サービスプロバイダーの認可ロジックを更新する" }, { "data": { "id": "なぜカスタム-jwt-クレームを使用するのか", "hProperties": { "id": "なぜカスタム-jwt-クレームを使用するのか" } }, "depth": 3, "value": "なぜカスタム JWT クレームを使用するのか？" }, { "data": { "id": "結論", "hProperties": { "id": "結論" } }, "depth": 2, "value": "結論" }]; const readingTime = { "minutes": 6, "words": 1755, "text": "6 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", code: "code", h2: "h2", h3: "h3", li: "li", ol: "ol", p: "p", pre: "pre", span: "span", ul: "ul", ..._provideComponents(), ...props.components }, {Info, LogtoCloudButton, Note} = _components; if (!Info) _missingMdxReference("Info", true); if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); if (!Note) _missingMdxReference("Note", true); return _jsxs(_Fragment, { children: [_jsx(_components.p, { children: "以前の記事で、ますます多くのシステムがユーザー認証とアクセス制御のために JWT 形式のアクセストークンを使用していることに触れました。これには、JWT がユーザーの役割や権限など、役立つ情報を含めることができるという重要な理由があります。この情報は、サーバーとクライアント間でユーザーの身元情報を伝達するのに役立ち、ユーザー認証とアクセス制御を実現できます。" }), "\n", _jsxs(_components.p, { children: ["通常、JWT に含まれる情報は認証サーバーによって決定されます。OAuth 2.0 プロトコルによれば、JWT には通常、", _jsx(_components.code, { children: "sub" }), "（主体）、", _jsx(_components.code, { children: "aud" }), "（受信者）、および ", _jsx(_components.code, { children: "exp" }), "（有効期限）といったフィールドが含まれており、これらは一般に「クレーム」と呼ばれます。これらのクレームは、アクセストークンの有効性を検証するのに役立ちます。"] }), "\n", _jsx(_components.p, { children: "しかし、JWT が検証に使用される場面は無数であり、一般的な JWT クレームではユーザーのニーズを満たせない場合が多いです。JWT が情報を含めることができるのであれば、より簡単に認可を行うための追加情報を含めることができないか、と考えることはよくあります。" }), "\n", _jsx(_components.p, { children: "結論としては、はい、JWT にカスタムクレームを追加することができます。たとえば、現在のユーザーのスコープやサブスクリプションレベルを追加できます。これにより、クライアントとサーバー（ここでは異なるサービスを提供するサーバー、つまりサービスプロバイダー）間でユーザーの身元情報をやり取りし、ユーザー認証とアクセス制御を実現できます。" }), "\n", _jsxs(_components.p, { children: ["標準的な JWT クレームについては ", _jsx(_components.a, { href: "https://datatracker.ietf.org/doc/html/rfc7519", children: "RFC7519" }), " を参照してください。Logto は認証と認可の両方をサポートするアイデンティティソリューションとして、これに基づいてリソースおよびスコープのクレームを拡張し、標準の ", _jsx(_components.a, { href: "https://docs.logto.io/docs/recipes/rbac/", children: "RBAC" }), " をサポートしています。Logto の RBAC 実装は標準的ですが、すべてのユースケースに適合するほどシンプルで柔軟ではありません。"] }), "\n", _jsx(_components.p, { children: "これに基づいて、Logto は JWT クレームのカスタマイズ機能を新たに提供し、ユーザーが追加の JWT クレームをカスタマイズできるようにし、ユーザー認証とアクセス制御がより柔軟に実施できるようにしました。" }), "\n", _jsx(LogtoCloudButton, {}), "\n", _jsxs(_components.h2, { id: "logto-のカスタム-jwt-クレームはどのように機能するのか", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#logto-のカスタム-jwt-クレームはどのように機能するのか", children: _jsx(_components.span, { children: "#" }) }), "Logto のカスタム JWT クレームはどのように機能するのか？"] }), "\n", _jsx(_components.p, { children: "サイドバーの「JWT クレーム」ボタンをクリックして「カスタム JWT リスティングページ」にアクセスできます。" }), "\n", _jsx("center", { children: _jsx("img", { alt: "custom-jwt-listing-page", src: "https://uploads.strapi.logto.io/1/custom_jwt_listing_page_f56a88c98f.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "エンドユーザー向けにカスタムクレームを追加することから始めましょう。" }), "\n", _jsxs(_components.p, { children: ["左側のエディターで ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " 関数をカスタマイズできます。このメソッドには、", _jsx(_components.code, { children: "token" }), "、", _jsx(_components.code, { children: "data" }), "、そして ", _jsx(_components.code, { children: "envVariables" }), " の 3 つの入力パラメータがあります。"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "token" }), " は、現在のエンドユーザーの資格情報とシステム構成に基づいて Logto から取得された未処理のアクセストークンペイロードであり、ユーザーのアクセスに関連する情報を含んでいます。"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "data" }), " は Logto 内のユーザーに関するすべての情報を含んでおり、ユーザーの役割、ソーシャルサインインアイデンティティ、SSO アイデンティティ、組織メンバーシップなどが含まれています。"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "envVariables" }), " は、Logto 内で現在のエンドユーザーアクセストークンの使用シナリオに対して構成した環境変数であり、必要な外部 API の API キーなどが含まれます。"] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "details-page-user-data", src: "https://uploads.strapi.logto.io/1/details_page_user_data_a92388f24a.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "右側のカードは展開でき、対応するパラメータの紹介を表示でき、そのシナリオに対して環境変数を設定することもできます。" }), "\n", _jsx("center", { children: _jsx("img", { alt: "details-page-user-test", src: "https://uploads.strapi.logto.io/1/details_page_user_test_93932f6e66.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "右側のすべてのカードの紹介を読んだ後、テストモードに切り替えることができ、テストデータを編集し、左側のコードエディタで記述したスクリプトの動作が期待される結果を満たしているかどうか確認するために、編集したテストデータを使用することができます。" }), "\n", _jsxs(_components.p, { children: ["これは、エンドユーザーが Logto への認証リクエストを開始し、最終的に Logto から返される JWT 形式のアクセストークンを取得する際の ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " 関数の実行プロセスを示すシーケンス図です。"] }), "\n", _jsxs(_components.p, { children: ["カスタム JWT 機能が有効でない場合、図のステップ 3 はスキップされ、ステップ 2 が終了した直後にステップ 4 が実行されます。このとき、Logto は ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " の戻り値を空のオブジェクトであるとみなし、その後の手順を続行します。"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n participant U as User or user agent\n participant IdP as Logto (identity provider)\n participant SP as Service Provider\n\n autonumber\n U ->> IdP: Auth request (with credentials)\n activate IdP\n IdP-->>IdP: Validate credentials &
generate raw access token payload\n rect rgb(191, 223, 255)\n note over IdP: カスタム JWT\n IdP->>IdP: カスタム JWT クレームスクリプトを実行 (`getCustomJwtClaims`) &
追加の JWT クレームを取得\n end\n IdP-->>IdP: 未処理のアクセストークンペイロードと追加の JWT クレームをマージする\n IdP-->>IdP: ペイロードに署名し、暗号化して JWT アクセストークンを取得\n deactivate IdP\n IdP-->>U: JWT 形式のアクセストークンを発行する\n par API を介したサービス取得\n U->>SP: サービスリクエスト (JWT アクセストークンを含む)\n SP-->>U: サービスレスポンス\n end\n" }) }), "\n", _jsx(Note, { children: _jsxs(_components.p, { children: ["セキュリティ上の理由から、Logto の ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " 関数で返された JWT クレームがアクセストークンのペイロードに既に存在する場合、これらのクレームは反映されず、既存のクレームを上書きすることはできません。"] }) }), "\n", _jsxs(_components.h2, { id: "カスタム-jwt-クレームを使用して認可を強化する-実践的な例", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#カスタム-jwt-クレームを使用して認可を強化する-実践的な例", children: _jsx(_components.span, { children: "#" }) }), "カスタム JWT クレームを使用して認可を強化する: 実践的な例"] }), "\n", _jsx(_components.p, { children: "前のセクションでは、Logto のカスタム JWT の動作原理について説明しました。この部分では、Logto のカスタム JWT クレームを使用して、認可の柔軟性とサービスプロバイダーのパフォーマンスをどのように向上させるか、実例を通じてお見せします。" }), "\n", _jsxs(_components.h3, { id: "シナリオの設定", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#シナリオの設定", children: _jsx(_components.span, { children: "#" }) }), "シナリオの設定"] }), "\n", _jsx(_components.p, { children: "ジョンのチームは、ユーザーが AI ロボットと会話することでさまざまなサービスを受けられる AI Assistant アプリを開発しました。" }), "\n", _jsx(_components.p, { children: "AI ロボットサービスは無料および有料サービスに分かれています。無料サービスには特別な航空運賃の推薦が含まれ、有料サービスには株式予測が含まれます。" }), "\n", _jsx(_components.p, { children: "AI Assistant アプリは Logto を使用してすべてのユーザーを管理しており、ユーザーは無料ユーザー、前払いユーザー、およびプレミアムユーザーの 3 種類に分けられています。無料ユーザーは無料サービスのみを利用でき、前払いユーザーはすべてのサービスを利用でき（利用に応じて課金される）、プレミアムユーザーはすべてのサービスを利用できます（ただし、悪意のある使用を防止するためのレート制限がある）。" }), "\n", _jsx(_components.p, { children: "さらに、AI Assistant アプリは Stripe を使用してユーザーの支払いを管理しており、ユーザーの操作ログを記録する独自のログサービスを持っています。" }), "\n", _jsxs(_components.h3, { id: "logto-設定", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#logto-設定", children: _jsx(_components.span, { children: "#" }) }), "Logto 設定"] }), "\n", _jsxs(_components.p, { children: ["まず、AI Assistant アプリのサービス用に API リソースを作成し、", _jsx(_components.code, { children: "recommend:flight" }), " と ", _jsx(_components.code, { children: "predict:stock" }), " の 2 つのスコープを作成します。"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "ai-assistant-app-resource", src: "https://uploads.strapi.logto.io/1/ai_assistant_app_resource_e3c2ee0f03.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["次に、2 つの ", _jsx(_components.code, { children: "roles" }), "、", _jsx(_components.code, { children: "free-user" }), " および ", _jsx(_components.code, { children: "paid-user" }), " を作成し、対応するスコープを割り当てます。"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "recommend:flight" }), " スコープを ", _jsx(_components.code, { children: "free-user" }), " ロールに割り当てます。"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "recommend:flight" }), " と ", _jsx(_components.code, { children: "predict:stock" }), " の両方のスコープを ", _jsx(_components.code, { children: "paid-user" }), " ロールに割り当てます。"] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "free-user-role", src: "https://uploads.strapi.logto.io/1/free_user_role_153a0277ba.webp", width: "800" }) }), "\n", _jsx("center", { children: _jsx("img", { alt: "paid-user-role", src: "https://uploads.strapi.logto.io/1/paid_user_role_d2fa9f5db6.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["最後に、3 人のユーザー、", _jsx(_components.code, { children: "free-user" }), "、", _jsx(_components.code, { children: "prepaid-user" }), " および ", _jsx(_components.code, { children: "premium-user" }), " を作成し、対応する役割を割り当てます。"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: ["ユーザー ", _jsx(_components.code, { children: "free-user" }), " に ", _jsx(_components.code, { children: "free-user" }), " ロールを割り当てます。"] }), "\n", _jsxs(_components.li, { children: ["ユーザー ", _jsx(_components.code, { children: "prepaid-user" }), " および ", _jsx(_components.code, { children: "premium-user" }), " に ", _jsx(_components.code, { children: "paid-user" }), " ロールを割り当てます。"] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "assign-free-user-role", src: "https://uploads.strapi.logto.io/1/assign_free_user_role_f7d37cb5c9.webp", width: "800" }) }), "\n", _jsx("center", { children: _jsx("img", { alt: "assign-paid-user-role", src: "https://uploads.strapi.logto.io/1/assign_paid_user_role_2dbfd74d6e.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["以下の図に示すように、上記のシナリオで必要な認可情報を実装するために、JWT に現在ログインしているユーザーの ", _jsx(_components.code, { children: "roles" }), "、", _jsx(_components.code, { children: "balance" }), "、および ", _jsx(_components.code, { children: "numOfCallsToday" }), " 情報を含めることを希望しています。AI Assistant アプリでアクセストークンを検証する際に、これらの情報を使用して許可の検証を迅速に行うことができます。"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "test-custom-jwt-claims", src: "https://uploads.strapi.logto.io/1/test_custom_jwt_claims_3fcd4c2004.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: [_jsx(_components.code, { children: "envVariables" }), " を設定した後、", _jsx(_components.code, { children: "getCustomJwtClaims" }), " 関数を実装し、「テスト実行」ボタンをクリックして、現在のテストデータに基づいた追加の JWT クレームの結果を確認します。"] }), "\n", _jsxs(_components.p, { children: [_jsx(_components.code, { children: "data.user.roles" }), " に関するテストデータが構成されていないため、結果に表示される ", _jsx(_components.code, { children: "roles" }), " は空の配列です。"] }), "\n", _jsxs(_components.h3, { id: "カスタム-jwt-機能が有効かどうかの確認", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#カスタム-jwt-機能が有効かどうかの確認", children: _jsx(_components.span, { children: "#" }) }), "カスタム JWT 機能が有効かどうかの確認"] }), "\n", _jsxs(_components.p, { children: ["上記の Logto 設定に従ってテストで対応する結果が得られました。次に、Logto が提供するサンプルアプリを使用して、カスタム JWT が有効かどうかを検証します。", _jsx(_components.a, { href: "https://docs.logto.io/sdk/", children: "Logto SDKs" }), " でお馴染みの SDK を見つけ、ドキュメントおよび対応する GitHub リポジトリに従ってサンプルアプリをデプロイします。"] }), "\n", _jsxs(_components.p, { children: ["上記の設定に基づき、", _jsx(_components.a, { href: "https://docs.logto.io/sdk/react/", children: "React SDK" }), " を例に取ると、LogtoConfig に対応する設定を更新する必要があります:"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "import { LogtoProvider, LogtoConfig, UserScope } from '@logto/react';\n\nconst config: LogtoConfig = {\n appId,\n endpoint,\n scopes: [\n UserScope.Email,\n UserScope.Phone,\n UserScope.CustomData,\n UserScope.Identities,\n UserScope.Organizations,\n \"recommend:flight\",\n \"predict:stock\",\n ],\n resources: [\"https://api.aiassistant.app/v1\"]\n};\n\nconst App = () => (\n \n \n \n);\n" }) }), "\n", _jsxs(_components.p, { children: ["サンプルアプリで ", _jsx(_components.code, { children: "free_user" }), " ユーザーをサインインした後、JWT アクセストークンのペイロード部分を確認することで、", _jsx(_components.code, { children: "roles" }), "、", _jsx(_components.code, { children: "balance" }), "、", _jsx(_components.code, { children: "numOfCallsToday" }), "、", _jsx(_components.code, { children: "isPaidUser" }), " および ", _jsx(_components.code, { children: "isPremiumUser" }), " の情報を確認できます。"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "sample-app-access-token-preview-free", src: "https://uploads.strapi.logto.io/1/sample_app_access_token_preview_free_117a8594c8.webp", width: "400" }) }), "\n", _jsxs(_components.p, { children: [_jsx(_components.code, { children: "balance" }), "、", _jsx(_components.code, { children: "numOfCallsToday" }), "、", _jsx(_components.code, { children: "isPaidUser" }), " および ", _jsx(_components.code, { children: "isPremiumUser" }), " の値は前回のテスト結果と一致し、", _jsx(_components.code, { children: "roles" }), " は ", _jsx(_components.code, { children: "[\"free-user\"]" }), " です。これは、実際のエンドユーザーログインプロセスでは、ユーザーのすべてのアクセス可能なデータを取得し、それに応じて処理を行うためです。"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "sample-app-access-token-preview-premium", src: "https://uploads.strapi.logto.io/1/sample_app_access_token_preview_premium_673f6f3db1.webp", width: "400" }) }), "\n", _jsxs(_components.p, { children: ["プレミアムユーザーの場合、", _jsx(_components.code, { children: "roles" }), " は ", _jsx(_components.code, { children: "[\"paid-user\"]" }), " であり、", _jsx(_components.code, { children: "isPaidUser" }), " と ", _jsx(_components.code, { children: "isPremiumUser" }), " の両方が ", _jsx(_components.code, { children: "true" }), " になっていることがわかります。"] }), "\n", _jsxs(_components.h3, { id: "サービスプロバイダーの認可ロジックを更新する", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#サービスプロバイダーの認可ロジックを更新する", children: _jsx(_components.span, { children: "#" }) }), "サービスプロバイダーの認可ロジックを更新する"] }), "\n", _jsx(_components.p, { children: "前のステップで、ビジネスニーズに基づいてユーザーアクセストークンにカスタムクレームを追加しました。次に、これらのクレームを使用して許可検証を迅速に実行できます。" }), "\n", _jsxs(Note, { children: [_jsx(_components.p, { children: "完全にカスタムクレームに依存して許可検証を行うことは推奨されません。" }), _jsx(_components.p, { children: "RBAC の実装は最小特権の原則に従っているため、セキュリティを確保するために、カスタムクレームを使用した検証は RBAC に基づいた追加的な補助的検証として行う必要があります。これにより、追加のカスタムクレームの導入によってユーザー認可権限の範囲が拡大することを防止します。" })] }), "\n", _jsxs(_components.p, { children: ["ここでは、Logto が API 側で JWT アクセストークンの検証を行うロジックを提供します。完全なコード実装は ", _jsx(_components.a, { href: "https://github.com/logto-io/logto/blob/master/packages/core/src/middleware/koa-auth/index.ts", children: "GitHub リポジトリ" }), " で確認できます:"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "import type { IncomingHttpHeaders } from 'node:http';\n\nimport { createLocalJWKSet, jwtVerify, type JWK } from 'jose';\n\nconst extractBearerTokenFromHeaders = (\n { authorization }: IncomingHttpHeaders\n) => {\n const bearerTokenIdentifier = 'Bearer';\n\n assertThat(\n authorization,\n new RequestError({\n code: 'auth.authorization_header_missing',\n status: 401\n })\n );\n assertThat(\n authorization.startsWith(bearerTokenIdentifier),\n new RequestError(\n { code: 'auth.authorization_token_type_not_supported', status: 401 },\n { supportedTypes: [bearerTokenIdentifier] }\n )\n );\n\n return authorization.slice(bearerTokenIdentifier.length + 1);\n};\n\nconst verifyBearerTokenFromRequest = async (\n publicJwks: JWT;\n issuer: string,\n request: Request,\n audience: Optional\n): Promise => {\n try {\n // 公開 JWKs および発行者を取得します。\n const [keys, issuer] = await getKeysAndIssuer();\n const { payload } = await jwtVerify(\n extractBearerTokenFromHeaders(request.headers),\n createLocalJWKSet({ keys }),\n {\n issuer,\n audience,\n }\n );\n\n const { sub, client_id: clientId, scope = '' } = payload;\n assertThat(sub,\n new RequestError({ code: 'auth.jwt_sub_missing', status: 401 }));\n\n return { sub, clientId, scopes: z.string().parse(scope).split(' ') };\n } catch (error: unknown) {\n if (error instanceof RequestError) {\n throw error;\n }\n\n throw new RequestError(\n { code: 'auth.unauthorized', status: 401 },\n error\n );\n }\n};\n" }) }), "\n", _jsxs(_components.p, { children: ["Logto API のアクセストークン検証ロジックを参考にして、自社のビジネスロジックに応じてカスタマイズすることができます。たとえば、ここで説明した AI Assistant アプリのシナリオでは、", _jsx(_components.code, { children: "verifyBearerTokenFromRequest" }), " 関数内で、", _jsx(_components.code, { children: "roles" }), "、", _jsx(_components.code, { children: "balance" }), "、", _jsx(_components.code, { children: "numOfCallsToday" }), "、", _jsx(_components.code, { children: "isPaidUser" }), "、", _jsx(_components.code, { children: "isPremiumUser" }), " などのカスタムクレームの検証ロジックを追加できます。"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "const verifyBearerTokenFromRequest = async (\n publicJwks: JWT;\n issuer: string,\n request: Request,\n audience: Optional\n): Promise => {\n try {\n // 公開 JWKs および発行者を取得します。\n const [keys, issuer] = await getKeysAndIssuer();\n const { payload } = await jwtVerify(\n extractBearerTokenFromHeaders(request.headers),\n createLocalJWKSet({ keys }),\n {\n issuer,\n audience,\n }\n );\n\n const {\n sub,\n client_id: clientId,\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser,\n scope = ''\n } = payload;\n assertThat(sub,\n new RequestError({ code: 'auth.jwt_sub_missing', status: 401 }));\n\n return {\n sub,\n clientId,\n scopes: z.string().parse(scope).split(' '),\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser\n };\n } catch (error: unknown) {\n if (error instanceof RequestError) {\n throw error;\n }\n\n throw new RequestError({ code: 'auth.unauthorized', status: 401 }, error);\n }\n};\n\nconst authorizeBearerTokenPayload = (\n payload: Payload,\n requiredScopes: string[],\n requiredRoles: string[]\n): void => {\n const {\n scope,\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser\n } = payload;\n const scopes: string[] = scope.split(' ');\n\n // RBAC 検証。\n /**\n * `free-user` は `predict:stock` スコープを持っていないため、API が `predict:stock` スコープを要求する\n * 場合、リクエストは直接拒否されます。\n */\n assertThat(\n requiredScopes.every((scope) => payload.scopes.includes(scope)),\n new RequestError(\n { code: 'auth.insufficient_scope', status: 403 },\n { requiredScopes })\n );\n\n /** `payload` 内の追加クレームに対する検証。 */\n assertThat(\n roles.includes('paid-user') && isPaidUser,\n new RequestError({ code: 'auth.role_mismatch', status: 403 }));\n // 1 日あたりのコール制限は 100 とします。\n assertThat(\n numOfCallsToday < 100,\n new RequestError({ code: 'auth.rate_limit_exceeded', status: 403 }));\n // プレミアムユーザーのバランスを確認する必要はありません。\n if (isPremiumUser) {\n return;\n }\n // バランスが正の値である場合のみ、サービスにアクセスできます。\n assertThat(\n balance > 0,\n new RequestError({ code: 'auth.balance_insufficient', status: 403 }));\n /** `payload` 内の追加クレームに対する検証。 */\n};\n" }) }), "\n", _jsx(_components.p, { children: "上記の例は、エンドユーザーのログインと JWT アクセストークンの取得に影響を与えるシナリオです。あなたのユースケースがマシン間 (M2M) の場合にも、M2M アプリのためにカスタム JWT クレームを個別に構成することができます。" }), "\n", _jsx(_components.p, { children: "ユーザー用にカスタム JWT を構成しても、M2M アプリがアクセストークンを取得する際の結果には影響しませんし、その逆も同様です。" }), "\n", _jsxs(_components.p, { children: ["M2M 接続の汎用性のため、Logto は現在、M2M アプリの ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " メソッドで Logto 内部データを受け取る機能を提供していません。他の観点では、M2M アプリのカスタム JWT の構成方法はユーザーアプリと同じです。この記事では詳しく述べませんので、Logto のカスタム JWT 機能を利用して始めてみてください。"] }), "\n", _jsxs(_components.h3, { id: "なぜカスタム-jwt-クレームを使用するのか", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#なぜカスタム-jwt-クレームを使用するのか", children: _jsx(_components.span, { children: "#" }) }), "なぜカスタム JWT クレームを使用するのか？"] }), "\n", _jsx(_components.p, { children: "ジョンの AI Assistant アプリシナリオや、Logto のカスタム JWT 機能を使用してより柔軟な認可検証を行う方法をご紹介しました。このプロセスでは、カスタム JWT 機能の利点が明らかになりました:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: ["カスタム JWT 機能を使わない場合、ユーザーは許可を確認するたびに外部 API（", _jsx(_components.code, { children: "getCustomJwtClaims" }), " で行うことと同様）をリクエストする必要があります。この API を提供するサービスプロバイダーにとっては、追加の負担が増えるかもしれません。カスタム JWT 機能を使えば、これらの情報を直接 JWT に入れて、外部 API の頻繁な呼び出しを減らすことができます。"] }), "\n", _jsx(_components.li, { children: "サービスプロバイダーにとって、カスタム JWT 機能はユーザーの許可をより迅速に確認するのに役立ちます。特にクライアントがサービスプロバイダーを頻繁に呼び出す場合、サービスのパフォーマンスを向上させます。" }), "\n", _jsx(_components.li, { children: "カスタム JWT 機能は、ビジネスに必要な追加の許可情報を迅速に実装するのに役立ちます。また、JWT は自己完結しており、暗号化も可能なため、改ざんされにくく、これらの情報をクライアントとサービスプロバイダー間で安全にやり取りすることができます。" }), "\n"] }), "\n", _jsx(Info, { children: _jsx(_components.p, { children: "前回のブログで述べたように、JWT アクセストークンが発行されると、その有効期間中は変更されないことに注意してください。したがって、カスタム JWT クレームに含める情報は\n実際のビジネスニーズと組み合わせ、アクセストークンの有効期間中に頻繁に変化する\n重要な認可情報を含めないよう注意する必要があります。" }) }), "\n", _jsxs(_components.p, { children: ["また、ユーザーが Logto にアクセストークンを発行するたびに ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " が実行されるため、あまりにも複雑なロジックや帯域幅に多くを要求する外部 API リクエストを実行するのは避ける必要があります。そうでないと、サインインプロセス中に ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " の結果を待つ時間が長くなりすぎる可能性があります。", _jsx(_components.code, { children: "getCustomJwtClaims" }), " が空のオブジェクトを返す場合、この構成項目を実際に使用する必要があるまで一時的に削除することを強くお勧めします。"] }), "\n", _jsxs(_components.h2, { id: "結論", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#結論", children: _jsx(_components.span, { children: "#" }) }), "結論"] }), "\n", _jsx(_components.p, { children: "この記事では、Logto が基本的な JWT アクセストークンを拡張し、追加の JWT クレームの機能を拡張して、ユーザーがビジネスニーズに応じて追加のエンドユーザー情報を JWT アクセストークンに入れることができるようにし、ユーザーがログインした後にユーザーの権限を迅速に確認できるようにしました。" }), "\n", _jsx(_components.p, { children: "ジョンの AI Assistant アプリのシナリオを提供し、Logto のカスタム JWT 機能を使用して柔軟な認可検証を行う方法を示しました。また、カスタム JWT を使用する際のいくつかの重要なポイントも指摘しました。実際のビジネスシナリオに応じて、ユーザーはビジネスのニーズに応じたさまざまなユーザー関連情報を JWT アクセストークンに入れることができるため、サービスプロバイダーはユーザーの権限を迅速に確認できます。" }), "\n", _jsx(LogtoCloudButton, {})] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }