"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "hoe-werken-logto-aangepaste-jwt-claims", "hProperties": { "id": "hoe-werken-logto-aangepaste-jwt-claims" } }, "depth": 2, "value": "Hoe werken Logto aangepaste JWT-claims?" }, { "data": { "id": "verhoog-je-autorisatie-met-aangepaste-jwt-claims-een-praktisch-voorbeeld", "hProperties": { "id": "verhoog-je-autorisatie-met-aangepaste-jwt-claims-een-praktisch-voorbeeld" } }, "depth": 2, "value": "Verhoog je autorisatie met aangepaste JWT-claims: een praktisch voorbeeld" }, { "data": { "id": "scenario-instelling", "hProperties": { "id": "scenario-instelling" } }, "depth": 3, "value": "Scenario-instelling" }, { "data": { "id": "logto-configuraties", "hProperties": { "id": "logto-configuraties" } }, "depth": 3, "value": "Logto configuraties" }, { "data": { "id": "controleer-of-de-aangepaste-jwt-functie-werkt", "hProperties": { "id": "controleer-of-de-aangepaste-jwt-functie-werkt" } }, "depth": 3, "value": "Controleer of de aangepaste JWT-functie werkt" }, { "data": { "id": "update-serviceprovider-autorisatielogica", "hProperties": { "id": "update-serviceprovider-autorisatielogica" } }, "depth": 3, "value": "Update serviceprovider autorisatielogica" }, { "data": { "id": "waarom-aangepaste-jwt-claims-gebruiken", "hProperties": { "id": "waarom-aangepaste-jwt-claims-gebruiken" } }, "depth": 3, "value": "Waarom aangepaste JWT-claims gebruiken?" }, { "data": { "id": "conclusie", "hProperties": { "id": "conclusie" } }, "depth": 2, "value": "Conclusie" }]; const readingTime = { "minutes": 8, "words": 2426, "text": "8 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", code: "code", h2: "h2", h3: "h3", li: "li", ol: "ol", p: "p", pre: "pre", span: "span", ul: "ul", ..._provideComponents(), ...props.components }, {Info, LogtoCloudButton, Note} = _components; if (!Info) _missingMdxReference("Info", true); if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); if (!Note) _missingMdxReference("Note", true); return _jsxs(_Fragment, { children: [_jsx(_components.p, { children: "In eerdere artikelen hebben we vermeld dat steeds meer systemen JWT-formaat toegangstokens gebruiken voor gebruikersauthenticatie en toegangscontrole. Een van de belangrijke redenen hiervoor is dat JWT nuttige informatie kan bevatten, zoals gebruikersrollen en permissies. Deze informatie kan ons helpen gebruikersidentiteitsinformatie tussen de server en client over te dragen, waardoor gebruikersauthenticatie en toegangscontrole mogelijk worden." }), "\n", _jsxs(_components.p, { children: ["Gewoonlijk wordt de informatie die in JWT is opgenomen bepaald door de authenticatieserver. Volgens het OAuth 2.0-protocol bevat JWT meestal velden zoals ", _jsx(_components.code, { children: "sub" }), " (onderwerp), ", _jsx(_components.code, { children: "aud" }), " (publiek) en ", _jsx(_components.code, { children: "exp" }), " (vervaltijd), die meestal claims worden genoemd. Deze claims kunnen helpen de geldigheid van het toegangstoken te verifiëren."] }), "\n", _jsx(_components.p, { children: "Er zijn echter talloze scenario's waarin JWT wordt gebruikt voor verificatie, en de gebruikelijke JWT-claims voldoen mogelijk vaak niet aan de behoeften van gebruikers. Mensen denken vaak dat, aangezien JWT enige informatie kan bevatten, we er wat informatie aan kunnen toevoegen om autorisatie gemakkelijker te maken?" }), "\n", _jsx(_components.p, { children: "Het antwoord is JA, we kunnen aangepaste claims toevoegen aan JWT, zoals het huidige gebruikersbereik en abonnementsniveau. Op deze manier kunnen we gebruikersidentiteitsinformatie tussen de client en de server (hier verwijst naar de server die verschillende diensten aanbiedt, ook wel serviceprovider genoemd) overdragen om gebruikersauthenticatie en toegangscontrole te realiseren." }), "\n", _jsxs(_components.p, { children: ["Voor standaard JWT-claims, zie ", _jsx(_components.a, { href: "https://datatracker.ietf.org/doc/html/rfc7519", children: "RFC7519" }), ". Logto, als een identiteit oplossing die zowel authenticatie als autorisatie ondersteunt, heeft op deze basis de claims resource en scope uitgebreid om standaard ", _jsx(_components.a, { href: "https://docs.logto.io/docs/recipes/rbac/", children: "RBAC" }), " te ondersteunen. Hoewel Logto's RBAC-implementatie standaard is, is het niet simpel en flexibel genoeg om in alle gebruiksscenario's te passen."] }), "\n", _jsx(_components.p, { children: "Op basis hiervan heeft Logto een nieuwe functie gelanceerd voor het aanpassen van JWT-claims, waarmee gebruikers extra JWT-claims kunnen aanpassen, zodat gebruikersauthenticatie en toegangscontrole flexibeler kunnen worden geïmplementeerd." }), "\n", _jsx(LogtoCloudButton, {}), "\n", _jsxs(_components.h2, { id: "hoe-werken-logto-aangepaste-jwt-claims", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#hoe-werken-logto-aangepaste-jwt-claims", children: _jsx(_components.span, { children: "#" }) }), "Hoe werken Logto aangepaste JWT-claims?"] }), "\n", _jsx(_components.p, { children: "Je kunt naar de pagina voor het weergeven van aangepaste JWT gaan door op de knop \"JWT-claims\" in de zijbalk te klikken." }), "\n", _jsx("center", { children: _jsx("img", { alt: "custom-jwt-listing-page", src: "https://uploads.strapi.logto.io/1/custom_jwt_listing_page_f56a88c98f.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Laten we beginnen met het toevoegen van aangepaste claims voor eindgebruikers." }), "\n", _jsxs(_components.p, { children: ["In de editor aan de linkerkant kun je je ", _jsx(_components.code, { children: "getCustomJwtClaims" }), "-functie aanpassen. Deze methode heeft drie invoerparameters: ", _jsx(_components.code, { children: "token" }), ", ", _jsx(_components.code, { children: "data" }), " en ", _jsx(_components.code, { children: "envVariables" }), "."] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "token" }), " is de ruwe toegangstoken payload verkregen op basis van de huidige eindgebruikersgegevens en je systeemconfiguratie, en de toegang gerelateerde informatie van de gebruiker in Logto"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "data" }), " is alle informatie over de gebruiker in Logto, inclusief alle rollen van de gebruiker, identiteiten voor sociale aanmelding, SSO-identiteiten, lidmaatschappen van organisaties, etc."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "envVariables" }), " zijn de omgevingsvariabelen die je hebt geconfigureerd in Logto voor het huidige eindgebruikers toegangstokenscenario, zoals API-sleutel(s) van de vereiste externe API's, etc."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "details-page-user-data", src: "https://uploads.strapi.logto.io/1/details_page_user_data_a92388f24a.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "De kaarten aan de rechterkant kunnen worden uitgebreid om de introductie van de overeenkomstige parameters te tonen, en je kunt hier ook de omgevingsvariabelen voor het huidige scenario instellen." }), "\n", _jsx("center", { children: _jsx("img", { alt: "details-page-user-test", src: "https://uploads.strapi.logto.io/1/details_page_user_test_93932f6e66.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Na het lezen van de introducties van alle kaarten aan de rechterkant, kun je overschakelen naar de testmodus, waar je testgegevens kunt bewerken en de bewerkte testgegevens kunt gebruiken om te controleren of het gedrag van het script dat je in de code-editor aan de linkerkant hebt geschreven aan je verwachtingen voldoet." }), "\n", _jsxs(_components.p, { children: ["Dit is een sequentiediagram dat het uitvoeringsproces van de ", _jsx(_components.code, { children: "getCustomJwtClaims" }), "-functie laat zien wanneer een eindgebruiker een authenticatieverzoek naar Logto initieert en uiteindelijk het JWT-formaat toegangstoken ontvangt dat door Logto wordt geretourneerd."] }), "\n", _jsxs(_components.p, { children: ["Als de functie van aangepaste JWT niet is ingeschakeld, wordt stap 3 in de afbeelding overgeslagen en wordt stap 4 direct uitgevoerd nadat stap 2 is beëindigd. Op dat moment neemt Logto aan dat de retourwaarde van ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " een leeg object is en vervolgens doorgaat met het doorlopen van de volgende stappen."] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n participant U as User of gebruiker agent\n participant IdP as Logto (identiteitsprovider)\n participant SP as Serviceprovider\n\n autonumber\n U ->> IdP: Auth verzoek (met gegevens)\n activate IdP\n IdP-->>IdP: Valideer gegevens en
genereer ruwe toegangstoken payload\n rect rgb(191, 223, 255)\n note over IdP: Aangepaste JWT\n IdP->>IdP: Voer aangepast JWT-claimscript uit (`getCustomJwtClaims`) &
verkrijg extra JWT-claims\n end\n IdP-->>IdP: Voeg ruwe toegangstoken payload en extra JWT-claims samen\n IdP-->>IdP: Onderteken & versleutel payload om JWT toegangstoken te verkrijgen\n deactivate IdP\n IdP-->>U: Geef JWT-formaat toegangstoken uit\n par Verkrijg service via API\n U->>SP: serviceverzoek (met JWT toegangstoken)\n SP-->>U: servicerespons\n end\n" }) }), "\n", _jsx(Note, { children: _jsxs(_components.p, { children: ["Om veiligheidsredenen, als de JWT-claims die door Logto's ", _jsx(_components.code, { children: "getCustomJwtClaims" }), "-functie worden teruggegeven al\nbestaan in de toegangstoken payload, zullen deze claims GEEN effect hebben en ze zullen NIET in staat zijn om\nde bestaande claims te overschrijven."] }) }), "\n", _jsxs(_components.h2, { id: "verhoog-je-autorisatie-met-aangepaste-jwt-claims-een-praktisch-voorbeeld", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#verhoog-je-autorisatie-met-aangepaste-jwt-claims-een-praktisch-voorbeeld", children: _jsx(_components.span, { children: "#" }) }), "Verhoog je autorisatie met aangepaste JWT-claims: een praktisch voorbeeld"] }), "\n", _jsx(_components.p, { children: "In de vorige sectie hebben we het werkingsprincipe van de Logto aangepaste JWT geïntroduceerd. In dit deel zullen we je laten zien hoe je Logto aangepaste JWT-claims kunt gebruiken om de flexibiliteit van autorisatie en de prestaties van de serviceprovider te verbeteren aan de hand van een praktijkvoorbeeld." }), "\n", _jsxs(_components.h3, { id: "scenario-instelling", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#scenario-instelling", children: _jsx(_components.span, { children: "#" }) }), "Scenario-instelling"] }), "\n", _jsx(_components.p, { children: "Johns team heeft een AI-assistent-app ontwikkeld waarmee gebruikers in gesprek kunnen gaan met AI-robots om verschillende diensten te verkrijgen." }), "\n", _jsx(_components.p, { children: "De AI-robotdiensten zijn onderverdeeld in gratis en betaalde diensten. Gratis diensten omvatten specifieke vlucht aanbevelingen, terwijl betaalde diensten onder meer aandelenvoorspellingen omvatten." }), "\n", _jsx(_components.p, { children: "De AI Assistent App maakt gebruik van Logto om alle gebruikers te beheren, die zijn onderverdeeld in drie typen: gratis gebruikers, vooraf betaalde gebruikers en premium gebruikers. Gratis gebruikers kunnen alleen gratis diensten gebruiken, vooraf betaalde gebruikers kunnen alle diensten gebruiken (afgerekend per gebruik), en premium gebruikers kunnen alle diensten gebruiken (maar hebben limieten om misbruik te voorkomen)." }), "\n", _jsx(_components.p, { children: "Bovendien maakt de AI Assistent App gebruik van Stripe om gebruikersbetalingen te beheren en heeft het een eigen logservice om gebruikerslogboeken bij te houden." }), "\n", _jsxs(_components.h3, { id: "logto-configuraties", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#logto-configuraties", children: _jsx(_components.span, { children: "#" }) }), "Logto configuraties"] }), "\n", _jsxs(_components.p, { children: ["We maken eerst API-bronnen voor de AI Assistent App service en creëren twee scopes, ", _jsx(_components.code, { children: "recommend:flight" }), " en ", _jsx(_components.code, { children: "predict:stock" }), "."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "ai-assistant-app-resource", src: "https://uploads.strapi.logto.io/1/ai_assistant_app_resource_e3c2ee0f03.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Daarna creëren we twee ", _jsx(_components.code, { children: "rollen" }), ", ", _jsx(_components.code, { children: "free-user" }), " en ", _jsx(_components.code, { children: "paid-user" }), ", en wijzen we de overeenkomende scopes toe:"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: ["Wijs de ", _jsx(_components.code, { children: "recommend:flight" }), " scope toe aan de ", _jsx(_components.code, { children: "free-user" }), " rol."] }), "\n", _jsxs(_components.li, { children: ["Wijs zowel ", _jsx(_components.code, { children: "recommend:flight" }), " als ", _jsx(_components.code, { children: "predict:stock" }), " scopes toe aan de ", _jsx(_components.code, { children: "paid-user" }), " rol."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "free-user-role", src: "https://uploads.strapi.logto.io/1/free_user_role_153a0277ba.webp", width: "800" }) }), "\n", _jsx("center", { children: _jsx("img", { alt: "paid-user-role", src: "https://uploads.strapi.logto.io/1/paid_user_role_d2fa9f5db6.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Ten slotte maken we drie gebruikers, ", _jsx(_components.code, { children: "free-user" }), ", ", _jsx(_components.code, { children: "prepaid-user" }), " en ", _jsx(_components.code, { children: "premium-user" }), ", en wijzen we de overeenkomende rollen toe:"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: ["Wijs de ", _jsx(_components.code, { children: "free-user" }), " rol toe aan gebruiker ", _jsx(_components.code, { children: "free-user" }), "."] }), "\n", _jsxs(_components.li, { children: ["Wijs de ", _jsx(_components.code, { children: "paid-user" }), " rol toe aan gebruikers ", _jsx(_components.code, { children: "prepaid-user" }), " en ", _jsx(_components.code, { children: "premium-user" }), "."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "assign-free-user-role", src: "https://uploads.strapi.logto.io/1/assign_free_user_role_f7d37cb5c9.webp", width: "800" }) }), "\n", _jsx("center", { children: _jsx("img", { alt: "assign-paid-user-role", src: "https://uploads.strapi.logto.io/1/assign_paid_user_role_2dbfd74d6e.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Zoals weergegeven in de volgende figuur, om de autorisatie-informatie te implementeren die vereist is voor het hierboven beschreven scenario, hopen we de ", _jsx(_components.code, { children: "rollen" }), ", ", _jsx(_components.code, { children: "saldo" }), " en ", _jsx(_components.code, { children: "numOfCallsToday" }), " informatie van de momenteel ingelogde gebruiker in de JWT op te nemen. Bij het verifiëren van het toegangstoken in de AI Assistent App kan deze informatie worden gebruikt om snel permissie verificatie uit te voeren."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "test-custom-jwt-claims", src: "https://uploads.strapi.logto.io/1/test_custom_jwt_claims_3fcd4c2004.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Na het configureren van de ", _jsx(_components.code, { children: "envVariables" }), ", implementeren we de functie ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " en klikken we op de knop \"Run test\" om het resultaat van de extra JWT-claims te zien op basis van de huidige testgegevens."] }), "\n", _jsxs(_components.p, { children: ["Aangezien we de testgegevens voor ", _jsx(_components.code, { children: "data.user.roles" }), " niet hebben geconfigureerd, is de ", _jsx(_components.code, { children: "rollen" }), " die in het resultaat wordt weergegeven een lege array."] }), "\n", _jsxs(_components.h3, { id: "controleer-of-de-aangepaste-jwt-functie-werkt", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#controleer-of-de-aangepaste-jwt-functie-werkt", children: _jsx(_components.span, { children: "#" }) }), "Controleer of de aangepaste JWT-functie werkt"] }), "\n", _jsxs(_components.p, { children: ["Volgens de bovenstaande Logto-configuratie hebben we de overeenkomstige resultaten in de test gekregen. Vervolgens zullen we de voorbeeldapp gebruiken die door Logto is geleverd om te verifiëren of onze aangepaste JWT effectief is. Zoek de SDK die je bekend vindt op ", _jsx(_components.a, { href: "https://docs.logto.io/sdk/", children: "Logto SDKs" }), " en implementeer een voorbeeldapp volgens de documentatie en de overeenkomstige GitHub-repo."] }), "\n", _jsxs(_components.p, { children: ["Op basis van de configuratie die we hierboven hebben beschreven, nemen we de ", _jsx(_components.a, { href: "https://docs.logto.io/sdk/react/", children: "React SDK" }), " als voorbeeld, we moeten de overeenkomstige configuratie in LogtoConfig bijwerken:"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "import { LogtoProvider, LogtoConfig, UserScope } from '@logto/react';\n\nconst config: LogtoConfig = {\n appId,\n endpoint,\n scopes: [\n UserScope.Email,\n UserScope.Phone,\n UserScope.CustomData,\n UserScope.Identities,\n UserScope.Organizations,\n \"recommend:flight\",\n \"predict:stock\",\n ],\n resources: [\"https://api.aiassistant.app/v1\"]\n};\n\nconst App = () => (\n \n \n \n);\n" }) }), "\n", _jsxs(_components.p, { children: ["Nadat de gebruiker ", _jsx(_components.code, { children: "free_user" }), " heeft aangemeld bij de voorbeeldapp die de AI Assistant App simuleert, kunnen we de ", _jsx(_components.code, { children: "rollen" }), ", ", _jsx(_components.code, { children: "saldo" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " en ", _jsx(_components.code, { children: "isPremiumUser" }), " informatie die we hebben toegevoegd zien door het payloadgedeelte van het JWT-toegangstoken te bekijken."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "sample-app-access-token-preview-free", src: "https://uploads.strapi.logto.io/1/sample_app_access_token_preview_free_117a8594c8.webp", width: "400" }) }), "\n", _jsxs(_components.p, { children: ["De waarden van ", _jsx(_components.code, { children: "saldo" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " en ", _jsx(_components.code, { children: "isPremiumUser" }), " zijn consistent met de vorige test, en ", _jsx(_components.code, { children: "rollen" }), " is gelijk aan ", _jsx(_components.code, { children: "[\"free-user\"]" }), ". Dit komt omdat we in het daadwerkelijke eindgebruikers inlogproces alle toegankelijke gegevens van de gebruiker zullen verkrijgen en dienovereenkomstig verwerken."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "sample-app-access-token-preview-premium", src: "https://uploads.strapi.logto.io/1/sample_app_access_token_preview_premium_673f6f3db1.webp", width: "400" }) }), "\n", _jsxs(_components.p, { children: ["Voor premium gebruikers kunnen we zien dat ", _jsx(_components.code, { children: "rollen" }), " ", _jsx(_components.code, { children: "[\"paid-user\"]" }), " is en dat zowel ", _jsx(_components.code, { children: "isPaidUser" }), " als ", _jsx(_components.code, { children: "isPremiumUser" }), " ", _jsx(_components.code, { children: "true" }), " zijn."] }), "\n", _jsxs(_components.h3, { id: "update-serviceprovider-autorisatielogica", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#update-serviceprovider-autorisatielogica", children: _jsx(_components.span, { children: "#" }) }), "Update serviceprovider autorisatielogica"] }), "\n", _jsx(_components.p, { children: "In de vorige stappen hebben we aangepaste claims toegevoegd op basis van zakelijke behoeften aan het gebruikers toegangstoken. Vervolgens kunnen we deze claims gebruiken om snel autorisatie verificatie uit te voeren." }), "\n", _jsxs(Note, { children: [_jsx(_components.p, { children: "Het is belangrijk op te merken dat we niet aanbevelen volledig te vertrouwen op aangepaste claims voor autorisatie verificatie." }), _jsx(_components.p, { children: "Aangezien de implementatie van RBAC het principe van minimale rechten volgt, moet de verificatie met behulp van aangepaste claims een aanvullende verificatie zijn op basis van RBAC. Dit om te voorkomen dat het bereik van gebruikersmachtigingen wordt uitgebreid door de introductie van extra aangepaste claims." })] }), "\n", _jsxs(_components.p, { children: ["Hier bieden we de logica van Logto voor het verifiëren van JWT toegangstokens aan de API-kant. De volledige code implementatie is te vinden in de ", _jsx(_components.a, { href: "https://github.com/logto-io/logto/blob/master/packages/core/src/middleware/koa-auth/index.ts", children: "GitHub-repo" }), ":"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "import type { IncomingHttpHeaders } from 'node:http';\n\nimport { createLocalJWKSet, jwtVerify, type JWK } from 'jose';\n\nconst extractBearerTokenFromHeaders = (\n { authorization }: IncomingHttpHeaders\n) => {\n const bearerTokenIdentifier = 'Bearer';\n\n assertThat(\n authorization,\n new RequestError({\n code: 'auth.authorization_header_missing',\n status: 401\n })\n );\n assertThat(\n authorization.startsWith(bearerTokenIdentifier),\n new RequestError(\n { code: 'auth.authorization_token_type_not_supported', status: 401 },\n { supportedTypes: [bearerTokenIdentifier] }\n )\n );\n\n return authorization.slice(bearerTokenIdentifier.length + 1);\n};\n\nconst verifyBearerTokenFromRequest = async (\n publicJwks: JWT;\n issuer: string,\n request: Request,\n audience: Optional\n): Promise => {\n try {\n // Verkrijg de openbare JWKs en issuer.\n const [keys, issuer] = await getKeysAndIssuer();\n const { payload } = await jwtVerify(\n extractBearerTokenFromHeaders(request.headers),\n createLocalJWKSet({ keys }),\n {\n issuer,\n audience,\n }\n );\n\n const { sub, client_id: clientId, scope = '' } = payload;\n assertThat(sub,\n new RequestError({ code: 'auth.jwt_sub_missing', status: 401 }));\n\n return { sub, clientId, scopes: z.string().parse(scope).split(' ') };\n } catch (error: unknown) {\n if (error instanceof RequestError) {\n throw error;\n }\n\n throw new RequestError(\n { code: 'auth.unauthorized', status: 401 },\n error\n );\n }\n};\n" }) }), "\n", _jsxs(_components.p, { children: ["Je kunt verwijzen naar de logica van Logto API voor het verifiëren van toegangstokens en deze aanpassen volgens je eigen zakelijke logica. Bijvoorbeeld, voor het AI Assistent App-scenario dat hier wordt beschreven, kun je verificatielogica toevoegen voor aangepaste claims zoals ", _jsx(_components.code, { children: "rollen" }), ", ", _jsx(_components.code, { children: "saldo" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " en ", _jsx(_components.code, { children: "isPremiumUser" }), " in de ", _jsx(_components.code, { children: "verifyBearerTokenFromRequest" }), " functie."] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "const verifyBearerTokenFromRequest = async (\n publicJwks: JWT;\n issuer: string,\n request: Request,\n audience: Optional\n): Promise => {\n try {\n // Verkrijg de openbare JWKs en issuer.\n const [keys, issuer] = await getKeysAndIssuer();\n const { payload } = await jwtVerify(\n extractBearerTokenFromHeaders(request.headers),\n createLocalJWKSet({ keys }),\n {\n issuer,\n audience,\n }\n );\n\n const {\n sub,\n client_id: clientId,\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser,\n scope = ''\n } = payload;\n assertThat(sub,\n new RequestError({ code: 'auth.jwt_sub_missing', status: 401 }));\n\n return {\n sub,\n clientId,\n scopes: z.string().parse(scope).split(' '),\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser\n };\n } catch (error: unknown) {\n if (error instanceof RequestError) {\n throw error;\n }\n\n throw new RequestError({ code: 'auth.unauthorized', status: 401 }, error);\n }\n};\n\nconst authorizeBearerTokenPayload = (\n payload: Payload,\n requiredScopes: string[],\n requiredRoles: string[]\n): void => {\n const {\n scope,\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser\n } = payload;\n const scopes: string[] = scope.split(' ');\n\n // RBAC-validatie.\n /**\n * `free-user` heeft de `predict:stock` scope niet, dus als de API de\n * `predict:stock` scope vereist, wordt het verzoek direct afgewezen.\n */\n assertThat(\n requiredScopes.every((scope) => payload.scopes.includes(scope)),\n new RequestError(\n { code: 'auth.insufficient_scope', status: 403 },\n { requiredScopes })\n );\n\n /** Validatie van extra claims in de `payload`. */\n assertThat(\n roles.includes('paid-user') && isPaidUser,\n new RequestError({ code: 'auth.role_mismatch', status: 403 }));\n // Stel dat de dagelijkse oproeplimiet 100 is.\n assertThat(\n numOfCallsToday < 100,\n new RequestError({ code: 'auth.rate_limit_exceeded', status: 403 }));\n // Geen noodzaak om het `saldo` van premium gebruikers te controleren.\n if (isPremiumUser) {\n return;\n }\n // Kan alleen gebruik maken van de service wanneer het saldo positief is.\n assertThat(\n balance > 0,\n new RequestError({ code: 'auth.balance_insufficient', status: 403 }));\n /** Validatie van extra claims in de `payload`. */\n};\n" }) }), "\n", _jsx(_components.p, { children: "Het bovenstaande voorbeeld is voor het scenario waarin het effect heeft op de eindgebruikersinlog en het verkrijgen van het JWT toegangstoken. Als je use case machine-to-machine (M2M) is, kun je ook apart aangepaste JWT-claims configureren voor M2M-apps." }), "\n", _jsx(_components.p, { children: "Het configureren van aangepaste JWT voor gebruikers zal het resultaat van M2M-apps bij het verkrijgen van toegangstokens niet beïnvloeden, en vice versa." }), "\n", _jsxs(_components.p, { children: ["Vanwege de algemeenheid van M2M-verbindingen biedt Logto momenteel niet de functie van de ", _jsx(_components.code, { children: "getCustomJwtClaims" }), "-methode van M2M-apps om interne gegevens van Logto te accepteren. In andere opzichten is de configuratiemethode van aangepaste JWT voor M2M-apps hetzelfde als die van gebruikersapps. Dit artikel zal daar niet verder op ingaan. Je kunt Logto's aangepaste JWT-functie gebruiken om te beginnen."] }), "\n", _jsxs(_components.h3, { id: "waarom-aangepaste-jwt-claims-gebruiken", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#waarom-aangepaste-jwt-claims-gebruiken", children: _jsx(_components.span, { children: "#" }) }), "Waarom aangepaste JWT-claims gebruiken?"] }), "\n", _jsx(_components.p, { children: "We hebben het AI Assistent Apps-scenario voor John en hoe je met de Custom JWT-functie van Logto een flexibelere autorisatie verificatie kunt bereiken. In dit proces zien we de voordelen van de Custom JWT-functie:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: ["Zonder de Custom JWT-functie moeten gebruikers elke keer dat ze permissies controleren een externe API aanvragen (zoals je doet in ", _jsx(_components.code, { children: "getCustomJwtClaims" }), "). Voor de serviceprovider die deze API biedt, kan dit een extra belasting vormen. Met de Custom JWT-functie kunnen deze informatie direct in de JWT worden geplaatst, waardoor de frequente oproepen naar de externe API worden verminderd."] }), "\n", _jsx(_components.li, { children: "Voor serviceproviders kan de Custom JWT-functie hen helpen gebruikersrechten sneller te verifiëren, vooral wanneer de client vaak de serviceprovider oproept, wat de serviceprestaties verbetert." }), "\n", _jsx(_components.li, { children: "De Custom JWT-functie kan je helpen snel extra autorisatie-informatie te implementeren die vereist is door de business, en de informatie kan op een veilige manier tussen de client en de serviceprovider worden doorgegeven, aangezien JWT zichzelf bevat en kan worden versleuteld zodat het moeilijk te vervalsen is." }), "\n"] }), "\n", _jsx(Info, { children: _jsx(_components.p, { children: "Het is belangrijk op te merken dat, zoals we in een eerder blogbericht vermeldden, een JWT-toegangstoken, eenmaal uitgegeven,\nniet zal veranderen tijdens de geldigheidsduur. Daarom zou de informatie die in de\naangepaste JWT-claims wordt opgenomen moeten worden gecombineerd met werkelijke bedrijfsbehoeften en moet je vermijden\ninformatie op te nemen\ndie belangrijk is voor autorisatie maar drastisch verandert binnen de geldigheidsperiode van het toegangstoken." }) }), "\n", _jsxs(_components.p, { children: ["Tegelijkertijd, aangezien ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " elke keer wordt uitgevoerd wanneer een gebruiker Logto nodig heeft om een toegangstoken uit te geven, is het noodzakelijk te voorkomen dat er te complexe logica en externe API-verzoeken met hoge bandbreedte-eisen worden uitgevoerd. Anders kan het te lang duren voor eindgebruikers om te wachten op het resultaat van ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " tijdens het aanmeldingsproces. Als je ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " een leeg object retourneert, raden we sterk aan om dit configuratie-item tijdelijk te verwijderen totdat je het daadwerkelijk nodig hebt."] }), "\n", _jsxs(_components.h2, { id: "conclusie", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#conclusie", children: _jsx(_components.span, { children: "#" }) }), "Conclusie"] }), "\n", _jsx(_components.p, { children: "In dit artikel heeft Logto het basis JWT toegangstoken uitgebreid en de functie van extra JWT-claims uitgebreid om gebruikers in staat te stellen extra eindgebruikersinformatie in het JWT toegangstoken te plaatsen op basis van hun zakelijke behoeften, zodat na de aanmelding van de gebruiker de gebruikersrechten snel kunnen worden geverifieerd." }), "\n", _jsx(_components.p, { children: "We bieden het scenario van Johns AI Assistent App en laten zien hoe je de Custom JWT-functie van Logto kunt gebruiken om een flexibelere autorisatie verificatie te bereiken. We wijzen ook enkele belangrijke punten bij het gebruik van aangepaste JWT aan. In combinatie met feitelijke zakelijke scenario's kunnen gebruikers verschillende gebruikersgerelateerde informatie in het JWT toegangstoken plaatsen volgens hun zakelijke behoeften, zodat de serviceprovider snel de gebruikersrechten kan verifiëren." }), "\n", _jsx(LogtoCloudButton, {})] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }