"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "jak-działają-niestandardowe-roszczenia-jwt-w-logto", "hProperties": { "id": "jak-działają-niestandardowe-roszczenia-jwt-w-logto" } }, "depth": 2, "value": "Jak działają niestandardowe roszczenia JWT w Logto?" }, { "data": { "id": "zwiększ-swoje-uprawnienia-za-pomocą-niestandardowych-roszczeń-jwt-praktyczny-przykład", "hProperties": { "id": "zwiększ-swoje-uprawnienia-za-pomocą-niestandardowych-roszczeń-jwt-praktyczny-przykład" } }, "depth": 2, "value": "Zwiększ swoje uprawnienia za pomocą niestandardowych roszczeń JWT: praktyczny przykład" }, { "data": { "id": "konfiguracja-scenariusza", "hProperties": { "id": "konfiguracja-scenariusza" } }, "depth": 3, "value": "Konfiguracja scenariusza" }, { "data": { "id": "konfiguracja-logto", "hProperties": { "id": "konfiguracja-logto" } }, "depth": 3, "value": "Konfiguracja Logto" }, { "data": { "id": "sprawdź-czy-funkcja-niestandardowego-jwt-zostaje-uruchomiona", "hProperties": { "id": "sprawdź-czy-funkcja-niestandardowego-jwt-zostaje-uruchomiona" } }, "depth": 3, "value": "Sprawdź, czy funkcja niestandardowego JWT zostaje uruchomiona" }, { "data": { "id": "aktualizacja-logiki-autoryzacji-dostawcy-usług", "hProperties": { "id": "aktualizacja-logiki-autoryzacji-dostawcy-usług" } }, "depth": 3, "value": "Aktualizacja logiki autoryzacji dostawcy usług" }, { "data": { "id": "dlaczego-warto-korzystać-z-niestandardowych-roszczeń-jwt", "hProperties": { "id": "dlaczego-warto-korzystać-z-niestandardowych-roszczeń-jwt" } }, "depth": 3, "value": "Dlaczego warto korzystać z niestandardowych roszczeń JWT?" }, { "data": { "id": "podsumowanie", "hProperties": { "id": "podsumowanie" } }, "depth": 2, "value": "Podsumowanie" }]; const readingTime = { "minutes": 7, "words": 2133, "text": "7 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", code: "code", h2: "h2", h3: "h3", li: "li", ol: "ol", p: "p", pre: "pre", span: "span", ul: "ul", ..._provideComponents(), ...props.components }, {Info, LogtoCloudButton, Note} = _components; if (!Info) _missingMdxReference("Info", true); if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); if (!Note) _missingMdxReference("Note", true); return _jsxs(_Fragment, { children: [_jsx(_components.p, { children: "W poprzednich artykułach wspomnieliśmy, że coraz więcej systemów używa tokenów dostępu w formacie JWT do uwierzytelniania użytkownika i kontroli dostępu. Jednym z ważnych powodów tego jest to, że JWT może zawierać pewne przydatne informacje, takie jak role użytkownika i uprawnienia. Te informacje mogą pomóc w przekazywaniu informacji o tożsamości użytkownika między serwerem a klientem, co pozwala na uwierzytelnianie użytkowników i kontrolę dostępu." }), "\n", _jsxs(_components.p, { children: ["Zazwyczaj informacje zawarte w JWT są określane przez serwer uwierzytelniający. Zgodnie z protokołem OAuth 2.0, JWT zazwyczaj zawiera pola takie jak ", _jsx(_components.code, { children: "sub" }), " (podmiot), ", _jsx(_components.code, { children: "aud" }), " (odbiorca) i ", _jsx(_components.code, { children: "exp" }), " (czas wygaśnięcia), które są powszechnie nazywane roszczeniami. Te roszczenia mogą pomóc w weryfikacji ważności tokenu dostępu."] }), "\n", _jsx(_components.p, { children: "Jednak istnieje wiele scenariuszy, w których JWT jest używany do weryfikacji, a wspólne roszczenia JWT mogą nie spełniać potrzeb użytkowników. Często myśli się o tym, że skoro JWT może zawierać pewne informacje, czy możemy dodać do niego dodatkowe informacje, aby ułatwić uprawnienia?" }), "\n", _jsx(_components.p, { children: "Odpowiedź brzmi TAK, możemy dodać niestandardowe roszczenia do JWT, takie jak zakres bieżącego użytkownika i poziom subskrypcji. W ten sposób możemy przekazywać informacje o tożsamości użytkownika między klientem a serwerem (tutaj chodzi o serwera, który świadczy różne usługi, także nazywanego dostawcą usług), aby osiągnąć uwierzytelnianie użytkownika i kontrolę dostępu." }), "\n", _jsxs(_components.p, { children: ["Dla standardowych roszczeń JWT zobacz ", _jsx(_components.a, { href: "https://datatracker.ietf.org/doc/html/rfc7519", children: "RFC7519" }), ". Logto, jako rozwiązanie tożsamościowe wspierające zarówno uwierzytelnianie, jak i autoryzację, rozszerzyło roszczenia związane z zasobami i zakresem na tej podstawie, aby wspierać standardowe ", _jsx(_components.a, { href: "https://docs.logto.io/docs/recipes/rbac/", children: "RBAC" }), ". Chociaż implementacja RBAC w Logto jest standardowa, nie jest ona wystarczająco prosta i elastyczna, aby pasować do wszystkich przypadków użycia."] }), "\n", _jsx(_components.p, { children: "Na tej podstawie Logto wprowadziło nową funkcję dostosowywania roszczeń JWT, która umożliwia użytkownikom dostosowanie dodatkowych roszczeń JWT, aby uwierzytelnianie użytkowników i kontrola dostępu mogły być realizowane bardziej elastycznie." }), "\n", _jsx(LogtoCloudButton, {}), "\n", _jsxs(_components.h2, { id: "jak-działają-niestandardowe-roszczenia-jwt-w-logto", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#jak-działają-niestandardowe-roszczenia-jwt-w-logto", children: _jsx(_components.span, { children: "#" }) }), "Jak działają niestandardowe roszczenia JWT w Logto?"] }), "\n", _jsx(_components.p, { children: "Możesz przejść do strony listingu niestandardowych JWT, klikając przycisk „JWT claims” na pasku bocznym." }), "\n", _jsx("center", { children: _jsx("img", { alt: "custom-jwt-listing-page", src: "https://uploads.strapi.logto.io/1/custom_jwt_listing_page_f56a88c98f.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Zacznijmy od dodawania niestandardowych roszczeń dla użytkowników końcowych." }), "\n", _jsxs(_components.p, { children: ["W edytorze po lewej stronie możesz dostosować swoją funkcję ", _jsx(_components.code, { children: "getCustomJwtClaims" }), ". Ta metoda ma trzy parametry wejściowe: ", _jsx(_components.code, { children: "token" }), ", ", _jsx(_components.code, { children: "data" }), " i ", _jsx(_components.code, { children: "envVariables" }), "."] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "token" }), " to surowy ładunek tokenu dostępu uzyskany na podstawie bieżących poświadczeń użytkownika końcowego oraz konfiguracji systemu, a także informacji związanych z dostępem użytkownika w Logto"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "data" }), " to wszystkie informacje o użytkowniku w Logto, w tym wszystkie role użytkownika, tożsamości logowania społecznościowego, tożsamości SSO, członkostwo w organizacjach itd."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "envVariables" }), " to zmienne środowiskowe, które skonfigurowałeś w Logto dla bieżącego scenariusza użycia tokenu dostępu użytkownika końcowego, jak np. klucze API potrzebnych zewnętrznych API itd."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "details-page-user-data", src: "https://uploads.strapi.logto.io/1/details_page_user_data_a92388f24a.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Karty po prawej stronie mogą być rozszerzone, aby pokazać wprowadzenie odpowiednich parametrów, a także możesz tutaj ustawić zmienne środowiskowe dla bieżącego scenariusza." }), "\n", _jsx("center", { children: _jsx("img", { alt: "details-page-user-test", src: "https://uploads.strapi.logto.io/1/details_page_user_test_93932f6e66.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Po przeczytaniu wprowadzeń wszystkich kart po prawej stronie możesz przełączyć się na tryb testowy, gdzie możesz edytować dane testowe i wykorzystać edytowane dane testowe do sprawdzenia, czy zachowanie skryptu, które napisałeś w edytorze kodu po lewej stronie, spełnia twoje oczekiwania." }), "\n", _jsxs(_components.p, { children: ["To jest diagram sekwencji pokazujący proces wykonania funkcji ", _jsx(_components.code, { children: "getCustomJwtClaims" }), ", gdy użytkownik końcowy inicjuje żądanie uwierzytelnienia do Logto i ostatecznie uzyskuje token dostępu w formacie JWT zwrócony przez Logto."] }), "\n", _jsxs(_components.p, { children: ["Jeśli funkcja Custom JWT nie jest włączona, krok 3 na rysunku zostanie pominięty, a krok 4 zostanie wykonany zaraz po zakończeniu kroku 2. W tym momencie Logto zakłada, że wartość zwracana przez ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " to pusty obiekt, a następnie przechodzi do kolejnych kroków."] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n participant U as Użytkownik lub agent użytkownika\n participant IdP as Logto (dostawca tożsamości)\n participant SP as Dostawca Usług\n\n autonumber\n U ->> IdP: Żądanie uwierzytelnienia (z poświadczeniami)\n activate IdP\n IdP-->>IdP: Weryfikacja poświadczeń &
generacja surowego ładunku tokenu dostępu\n rect rgb(191, 223, 255)\n note over IdP: Custom JWT\n IdP->>IdP: Uruchomienie skryptu niestandardowych roszczeń JWT (`getCustomJwtClaims`) &
uzyskanie dodatkowych roszczeń JWT\n end\n IdP-->>IdP: Połączenie surowego ładunku tokenu dostępu z dodatkowymi roszczeniami JWT\n IdP-->>IdP: Podpisanie & zaszyfrowanie ładunku, aby uzyskać token dostępu JWT\n deactivate IdP\n IdP-->>U: Wydanie tokenu dostępu w formacie JWT\n par Uzyskanie usługi przez API\n U->>SP: Żądanie usługi (z tokenem dostępu JWT)\n SP-->>U: Odpowiedź usługi\n end\n" }) }), "\n", _jsx(Note, { children: _jsxs(_components.p, { children: ["Ze względów bezpieczeństwa, jeśli roszczenia JWT zwrócone przez funkcję ", _jsx(_components.code, { children: "getCustomJwtClaims" }), "\nw Logto już istnieją w ładunku tokenu dostępu, te roszczenia NIE będą obowiązywać i NIE będą\nmogły nadpisać istniejących roszczeń."] }) }), "\n", _jsxs(_components.h2, { id: "zwiększ-swoje-uprawnienia-za-pomocą-niestandardowych-roszczeń-jwt-praktyczny-przykład", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#zwiększ-swoje-uprawnienia-za-pomocą-niestandardowych-roszczeń-jwt-praktyczny-przykład", children: _jsx(_components.span, { children: "#" }) }), "Zwiększ swoje uprawnienia za pomocą niestandardowych roszczeń JWT: praktyczny przykład"] }), "\n", _jsx(_components.p, { children: "W poprzedniej sekcji wprowadziliśmy zasadę działania niestandardowego JWT w Logto. W tej części pokażemy, jak korzystać z niestandardowych roszczeń JWT w Logto, aby poprawić elastyczność uprawnień oraz wydajność dostawcy usług na przykładzie z rzeczywistości." }), "\n", _jsxs(_components.h3, { id: "konfiguracja-scenariusza", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#konfiguracja-scenariusza", children: _jsx(_components.span, { children: "#" }) }), "Konfiguracja scenariusza"] }), "\n", _jsx(_components.p, { children: "Zespół Johna opracował aplikację AI Assistant, która umożliwia użytkownikom rozmowy z robotami AI w celu uzyskania różnych usług." }), "\n", _jsx(_components.p, { children: "Usługi robotów AI są podzielone na usługi bezpłatne i płatne. Usługi bezpłatne obejmują rekomendacje dotyczące specjalnych taryf lotniczych, natomiast usługi płatne obejmują prognozy giełdowe." }), "\n", _jsx(_components.p, { children: "Aplikacja AI Assistant używa Logto do zarządzania wszystkimi użytkownikami, którzy są podzieleni na trzy typy: użytkownicy bezpłatni, użytkownicy przedpłatni i użytkownicy premium. Użytkownicy bezpłatni mogą korzystać tylko z bezpłatnych usług, użytkownicy przedpłatni mogą korzystać ze wszystkich usług (płatnych według użycia), a użytkownicy premium mogą korzystać ze wszystkich usług (ale mają ograniczenia liczby połączeń, aby zapobiec złośliwemu wykorzystaniu)." }), "\n", _jsx(_components.p, { children: "Dodatkowo, aplikacja AI Assistant używa Stripe do zarządzania płatnościami użytkowników i ma własny serwis logowania, aby rejestrować logi operacji użytkowników." }), "\n", _jsxs(_components.h3, { id: "konfiguracja-logto", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#konfiguracja-logto", children: _jsx(_components.span, { children: "#" }) }), "Konfiguracja Logto"] }), "\n", _jsxs(_components.p, { children: ["Najpierw tworzymy zasoby API dla usługi aplikacji AI Assistant i tworzymy dwa zakresy, ", _jsx(_components.code, { children: "recommend:flight" }), " i ", _jsx(_components.code, { children: "predict:stock" }), "."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "ai-assistant-app-resource", src: "https://uploads.strapi.logto.io/1/ai_assistant_app_resource_e3c2ee0f03.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Następnie tworzymy dwa ", _jsx(_components.code, { children: "roles" }), ", ", _jsx(_components.code, { children: "free-user" }), " i ", _jsx(_components.code, { children: "paid-user" }), ", i przypisujemy odpowiednie zakresy:"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: ["Przypisz zakres ", _jsx(_components.code, { children: "recommend:flight" }), " do roli ", _jsx(_components.code, { children: "free-user" }), "."] }), "\n", _jsxs(_components.li, { children: ["Przypisz zarówno zakres ", _jsx(_components.code, { children: "recommend:flight" }), ", jak i ", _jsx(_components.code, { children: "predict:stock" }), " do roli ", _jsx(_components.code, { children: "paid-user" }), "."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "free-user-role", src: "https://uploads.strapi.logto.io/1/free_user_role_153a0277ba.webp", width: "800" }) }), "\n", _jsx("center", { children: _jsx("img", { alt: "paid-user-role", src: "https://uploads.strapi.logto.io/1/paid_user_role_d2fa9f5db6.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Na koniec tworzymy trzech użytkowników, ", _jsx(_components.code, { children: "free-user" }), ", ", _jsx(_components.code, { children: "prepaid-user" }), " i ", _jsx(_components.code, { children: "premium-user" }), ", i przypisujemy odpowiednie role:"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: ["Przypisz rolę ", _jsx(_components.code, { children: "free-user" }), " do użytkownika ", _jsx(_components.code, { children: "free-user" }), "."] }), "\n", _jsxs(_components.li, { children: ["Przypisz rolę ", _jsx(_components.code, { children: "paid-user" }), " do użytkowników ", _jsx(_components.code, { children: "prepaid-user" }), " i ", _jsx(_components.code, { children: "premium-user" }), "."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "assign-free-user-role", src: "https://uploads.strapi.logto.io/1/assign_free_user_role_f7d37cb5c9.webp", width: "800" }) }), "\n", _jsx("center", { children: _jsx("img", { alt: "assign-paid-user-role", src: "https://uploads.strapi.logto.io/1/assign_paid_user_role_2dbfd74d6e.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Jak pokazano na poniższym rysunku, aby wdrożyć informacje potrzebne do uprawnień w opisanym powyżej scenariuszu, chcemy uwzględnić informacje ", _jsx(_components.code, { children: "roles" }), ", ", _jsx(_components.code, { children: "balance" }), " i ", _jsx(_components.code, { children: "numOfCallsToday" }), " obecnie zalogowanego użytkownika w JWT. Podczas weryfikacji tokenu dostępu w aplikacji AI Assistant, te informacje mogą być wykorzystane do szybkiego przeprowadzenia weryfikacji uprawnień."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "test-custom-jwt-claims", src: "https://uploads.strapi.logto.io/1/test_custom_jwt_claims_3fcd4c2004.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Po skonfigurowaniu ", _jsx(_components.code, { children: "envVariables" }), ", implementujemy funkcję ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " i klikamy przycisk „Uruchom test”, aby zobaczyć rezultat dodatkowych roszczeń JWT opartych na bieżących danych testowych."] }), "\n", _jsxs(_components.p, { children: ["Ponieważ nie skonfigurowaliśmy danych testowych dla ", _jsx(_components.code, { children: "data.user.roles" }), ", rola przedstawiona w wyniku to pusta tablica."] }), "\n", _jsxs(_components.h3, { id: "sprawdź-czy-funkcja-niestandardowego-jwt-zostaje-uruchomiona", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#sprawdź-czy-funkcja-niestandardowego-jwt-zostaje-uruchomiona", children: _jsx(_components.span, { children: "#" }) }), "Sprawdź, czy funkcja niestandardowego JWT zostaje uruchomiona"] }), "\n", _jsxs(_components.p, { children: ["Zgodnie z powyższą konfiguracją Logto, uzyskaliśmy odpowiednie wyniki w teście. Następnie użyjemy przykładowej aplikacji dostarczonej przez Logto, aby sprawdzić, czy nasze niestandardowe JWT jest skuteczne. Znajdź SDK, z którą jesteś zaznajomiony w ", _jsx(_components.a, { href: "https://docs.logto.io/sdk/", children: "SDK Logto" }), " i wdroż przykładową aplikację zgodnie z dokumentacją oraz odpowiednim repozytorium GitHub."] }), "\n", _jsxs(_components.p, { children: ["Na podstawie konfiguracji opisanej powyżej, biorąc pod uwagę przykład ", _jsx(_components.a, { href: "https://docs.logto.io/sdk/react/", children: "React SDK" }), ", musimy zaktualizować odpowiednią konfigurację w LogtoConfig:"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "import { LogtoProvider, LogtoConfig, UserScope } from '@logto/react';\n\nconst config: LogtoConfig = {\n appId,\n endpoint,\n scopes: [\n UserScope.Email,\n UserScope.Phone,\n UserScope.CustomData,\n UserScope.Identities,\n UserScope.Organizations,\n \"recommend:flight\",\n \"predict:stock\",\n ],\n resources: [\"https://api.aiassistant.app/v1\"]\n};\n\nconst App = () => (\n \n \n \n);\n" }) }), "\n", _jsxs(_components.p, { children: ["Po zalogowaniu się użytkownika ", _jsx(_components.code, { children: "free_user" }), " do przykładowej aplikacji symulującej aplikację AI Assistant, możemy zobaczyć informacje ", _jsx(_components.code, { children: "roles" }), ", ", _jsx(_components.code, { children: "balance" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " i ", _jsx(_components.code, { children: "isPremiumUser" }), ", które dodaliśmy przez przeglądanie części ładunku tokenu dostępu JWT."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "sample-app-access-token-preview-free", src: "https://uploads.strapi.logto.io/1/sample_app_access_token_preview_free_117a8594c8.webp", width: "400" }) }), "\n", _jsxs(_components.p, { children: ["Wartości ", _jsx(_components.code, { children: "balance" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " i ", _jsx(_components.code, { children: "isPremiumUser" }), " są zgodne z poprzednim testem, a ", _jsx(_components.code, { children: "roles" }), " równa się ", _jsx(_components.code, { children: "[\"free-user\"]" }), ". Jest tak dlatego, że w rzeczywistym procesie logowania użytkownika końcowego uzyskamy wszystkie dostępne dane użytkownika i przetworzymy je odpowiednio."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "sample-app-access-token-preview-premium", src: "https://uploads.strapi.logto.io/1/sample_app_access_token_preview_premium_673f6f3db1.webp", width: "400" }) }), "\n", _jsxs(_components.p, { children: ["Dla użytkowników premium widać, że ", _jsx(_components.code, { children: "roles" }), " to ", _jsx(_components.code, { children: "[\"paid-user\"]" }), ", a zarówno ", _jsx(_components.code, { children: "isPaidUser" }), ", jak i ", _jsx(_components.code, { children: "isPremiumUser" }), " są ", _jsx(_components.code, { children: "true" }), "."] }), "\n", _jsxs(_components.h3, { id: "aktualizacja-logiki-autoryzacji-dostawcy-usług", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#aktualizacja-logiki-autoryzacji-dostawcy-usług", children: _jsx(_components.span, { children: "#" }) }), "Aktualizacja logiki autoryzacji dostawcy usług"] }), "\n", _jsx(_components.p, { children: "W poprzednich krokach dodaliśmy niestandardowe roszczenia na podstawie potrzeb biznesowych do tokenu dostępu użytkownika. Następnie możemy użyć tych roszczeń do szybkiego dokonania weryfikacji uprawnień." }), "\n", _jsxs(Note, { children: [_jsx(_components.p, { children: "Należy pamiętać, że nie zalecamy polegania wyłącznie na niestandardowych roszczeniach w celu weryfikacji uprawnień." }), _jsx(_components.p, { children: "Ponieważ wdrożenie RBAC opiera się na zasadzie najmniejszych uprawnień, aby zapewnić bezpieczeństwo, weryfikacja z użyciem niestandardowych roszczeń powinna być dodatkową weryfikacją pomocniczą opartą na RBAC. Jest to konieczne, aby uniknąć rozszerzenia zakresu uprawnień użytkownika z powodu wprowadzenia dodatkowych niestandardowych roszczeń." })] }), "\n", _jsxs(_components.p, { children: ["Tutaj przedstawiamy logikę weryfikacji tokenów dostępu JWT przez Logto po stronie API. Kompletną implementację kodu można znaleźć w ", _jsx(_components.a, { href: "https://github.com/logto-io/logto/blob/master/packages/core/src/middleware/koa-auth/index.ts", children: "repozytorium GitHub" }), ":"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "import type { IncomingHttpHeaders } from 'node:http';\n\nimport { createLocalJWKSet, jwtVerify, type JWK } from 'jose';\n\nconst extractBearerTokenFromHeaders = (\n { authorization }: IncomingHttpHeaders\n) => {\n const bearerTokenIdentifier = 'Bearer';\n\n assertThat(\n authorization,\n new RequestError({\n code: 'auth.authorization_header_missing',\n status: 401\n })\n );\n assertThat(\n authorization.startsWith(bearerTokenIdentifier),\n new RequestError(\n { code: 'auth.authorization_token_type_not_supported', status: 401 },\n { supportedTypes: [bearerTokenIdentifier] }\n )\n );\n\n return authorization.slice(bearerTokenIdentifier.length + 1);\n};\n\nconst verifyBearerTokenFromRequest = async (\n publicJwks: JWT;\n issuer: string,\n request: Request,\n audience: Optional\n): Promise => {\n try {\n // Zdobądź publiczne JWKs i wydawcę.\n const [keys, issuer] = await getKeysAndIssuer();\n const { payload } = await jwtVerify(\n extractBearerTokenFromHeaders(request.headers),\n createLocalJWKSet({ keys }),\n {\n issuer,\n audience,\n }\n );\n\n const { sub, client_id: clientId, scope = '' } = payload;\n assertThat(sub,\n new RequestError({ code: 'auth.jwt_sub_missing', status: 401 }));\n\n return { sub, clientId, scopes: z.string().parse(scope).split(' ') };\n } catch (error: unknown) {\n if (error instanceof RequestError) {\n throw error;\n }\n\n throw new RequestError(\n { code: 'auth.unauthorized', status: 401 },\n error\n );\n }\n};\n" }) }), "\n", _jsxs(_components.p, { children: ["Możesz odnieść się do logiki weryfikacji tokenów dostępu API Logto i dostosować ją zgodnie z własną logiką biznesową. Na przykład dla scenariusza aplikacji AI Assistant opisanego tutaj, możesz dodać logikę weryfikacji dla niestandardowych roszczeń, takich jak ", _jsx(_components.code, { children: "roles" }), ", ", _jsx(_components.code, { children: "balance" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " i ", _jsx(_components.code, { children: "isPremiumUser" }), " w funkcji ", _jsx(_components.code, { children: "verifyBearerTokenFromRequest" }), "."] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "const verifyBearerTokenFromRequest = async (\n publicJwks: JWT;\n issuer: string,\n request: Request,\n audience: Optional\n): Promise => {\n try {\n // Zdobądź publiczne JWKs i wydawcę.\n const [keys, issuer] = await getKeysAndIssuer();\n const { payload } = await jwtVerify(\n extractBearerTokenFromHeaders(request.headers),\n createLocalJWKSet({ keys }),\n {\n issuer,\n audience,\n }\n );\n\n const {\n sub,\n client_id: clientId,\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser,\n scope = ''\n } = payload;\n assertThat(sub,\n new RequestError({ code: 'auth.jwt_sub_missing', status: 401 }));\n\n return {\n sub,\n clientId,\n scopes: z.string().parse(scope).split(' '),\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser\n };\n } catch (error: unknown) {\n if (error instanceof RequestError) {\n throw error;\n }\n\n throw new RequestError({ code: 'auth.unauthorized', status: 401 }, error);\n }\n};\n\nconst authorizeBearerTokenPayload = (\n payload: Payload,\n requiredScopes: string[],\n requiredRoles: string[]\n): void => {\n const {\n scope,\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser\n } = payload;\n const scopes: string[] = scope.split(' ');\n\n // Walidacja RBAC.\n /**\n * `free-user` nie ma zakresu `predict:stock`, więc jeśli API wymaga\n * zakresu `predict:stock`, żądanie zostanie bezpośrednio odrzucone.\n */\n assertThat(\n requiredScopes.every((scope) => payload.scopes.includes(scope)),\n new RequestError(\n { code: 'auth.insufficient_scope', status: 403 },\n { requiredScopes })\n );\n\n /** Walidacja dodatkowych roszczeń w `payload`. */\n assertThat(\n roles.includes('paid-user') && isPaidUser,\n new RequestError({ code: 'auth.role_mismatch', status: 403 }));\n // Załóżmy, że dzienny limit połączeń wynosi 100.\n assertThat(\n numOfCallsToday < 100,\n new RequestError({ code: 'auth.rate_limit_exceeded', status: 403 }));\n // Nie trzeba sprawdzać `balance` dla użytkowników premium.\n if (isPremiumUser) {\n return;\n }\n // Można uzyskać dostęp do usługi tylko wtedy, gdy saldo jest dodatnie.\n assertThat(\n balance > 0,\n new RequestError({ code: 'auth.balance_insufficient', status: 403 }));\n /** Walidacja dodatkowych roszczeń w `payload`. */\n};\n" }) }), "\n", _jsx(_components.p, { children: "Powyższy przykład dotyczy scenariusza, w którym wpływa to na logowanie użytkownika końcowego i uzyskanie tokenu dostępu JWT. Jeśli twój przypadek użycia dotyczy maszyny do maszyny (M2M), możesz także osobno skonfigurować niestandardowe roszczenia JWT dla aplikacji M2M." }), "\n", _jsx(_components.p, { children: "Konfiguracja niestandardowego JWT dla użytkowników nie wpływa na rezultat uzyskania tokenów dostępu przez aplikacje M2M i odwrotnie." }), "\n", _jsxs(_components.p, { children: ["Ze względu na ogólność połączeń M2M, Logto obecnie nie zapewnia funkcji metody ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " aplikacji M2M do przyjmowania wewnętrznych danych z Logto. W innych aspektach, sposób konfiguracji niestandardowego JWT dla aplikacji M2M jest taki sam jak dla aplikacji użytkownika. W tym artykule nie będziemy tego szczegółowo omawiać. Możesz zacząć korzystanie z funkcji niestandardowego JWT w Logto."] }), "\n", _jsxs(_components.h3, { id: "dlaczego-warto-korzystać-z-niestandardowych-roszczeń-jwt", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#dlaczego-warto-korzystać-z-niestandardowych-roszczeń-jwt", children: _jsx(_components.span, { children: "#" }) }), "Dlaczego warto korzystać z niestandardowych roszczeń JWT?"] }), "\n", _jsx(_components.p, { children: "Przedstawiliśmy scenariusz aplikacji AI Assistant dla Johna oraz sposób korzystania z funkcji niestandardowego JWT Logto, aby osiągnąć bardziej elastyczną weryfikację uprawnień. W tym procesie możemy dostrzec zalety funkcji niestandardowego JWT:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: ["Bez funkcji niestandardowego JWT użytkownicy muszą za każdym razem, gdy sprawdzają uprawnienia sięgnąć do zewnętrznego API (tak jak to robisz w ", _jsx(_components.code, { children: "getCustomJwtClaims" }), "). Dla dostawcy usług, który udostępnia takie API, może to zwiększyć dodatkowe obciążenie. Dzięki funkcji niestandardowego JWT te informacje mogą być umieszczone bezpośrednio w JWT, zmniejszając częstotliwość wywołań zewnętrznego API."] }), "\n", _jsx(_components.li, { children: "Dla dostawców usług funkcja niestandardowego JWT może pomóc w szybszym weryfikowaniu uprawnień użytkowników, zwłaszcza gdy klient często wywołuje dostawcę usług, co poprawia wydajność usługi." }), "\n", _jsx(_components.li, { children: "Funkcja niestandardowego JWT może pomóc szybko wdrożyć dodatkowe informacje potrzebne do uprawnień w biznesie, a informacje te mogą być przekazywane między klientem a dostawcą usług w bezpieczny sposób, ponieważ JWT jest samowystarczalny i można go zaszyfrować, co sprawia, że jest trudny do sfałszowania." }), "\n"] }), "\n", _jsx(Info, { children: _jsx(_components.p, { children: "Należy zauważyć, że, jak wspomnieliśmy we wcześniejszym wpisie na blogu, raz wydany token dostępu JWT\nnie zmieni się w okresie jego ważności. Dlatego informacje zawarte w niestandardowych roszczeniach JWT\npowinny być ściśle powiązane z rzeczywistymi potrzebami biznesowymi i unikać umieszczania tam informacji,\nktóre są istotne dla uprawnień, ale mogą zmieniać się drastycznie podczas okresu ważności tokenu dostępu." }) }), "\n", _jsxs(_components.p, { children: ["Jednocześnie, ponieważ ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " jest wykonywany za każdym razem, gdy użytkownik potrzebuje, aby Logto wydało token dostępu, konieczne jest unikanie wykonywania zbyt skomplikowanej logiki i wywołań zewnętrznych API o dużej przepustowości. W przeciwnym razie, użytkownik końcowy może czekać zbyt długo na wynik ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " podczas procesu logowania. Jeśli twoja ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " zwraca pusty obiekt, zalecamy tymczasowe usunięcie tego elementu konfiguracyjnego, dopóki rzeczywiście nie będziesz potrzebować go używać."] }), "\n", _jsxs(_components.h2, { id: "podsumowanie", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#podsumowanie", children: _jsx(_components.span, { children: "#" }) }), "Podsumowanie"] }), "\n", _jsx(_components.p, { children: "W tym artykule Logto rozszerzyło podstawowy token dostępu JWT i rozszerzyło funkcję dodatkowych roszczeń JWT, aby umożliwić użytkownikom umieszczanie dodatkowych informacji o użytkowniku końcowym w tokenie dostępu JWT zgodnie z potrzebami biznesowymi, dzięki czemu po zalogowaniu się użytkownika można szybko zweryfikować uprawnienia użytkownika." }), "\n", _jsx(_components.p, { children: "Podajemy scenariusz aplikacji AI Assistant Johna i pokazujemy, jak za pomocą funkcji niestandardowego JWT w Logto można osiągnąć bardziej elastyczną weryfikację uprawnień. Wskazujemy również na kilka kluczowych punktów dotyczących korzystania z niestandardowego JWT. W połączeniu z rzeczywistymi scenariuszami biznesowymi użytkownicy mogą umieszczać różne informacje związane z użytkownikami w tokenie dostępu JWT zgodnie z potrzebami biznesowymi, aby dostawca usług mógł szybko zweryfikować uprawnienia użytkownika." }), "\n", _jsx(LogtoCloudButton, {})] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }