"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "introduktion", "hProperties": { "id": "introduktion" } }, "depth": 2, "value": "Introduktion" }, { "data": { "id": "men-först-vad-och-varför", "hProperties": { "id": "men-först-vad-och-varför" } }, "depth": 2, "value": "Men först, vad och varför?" }, { "data": { "id": "integrera-en-oidc-server", "hProperties": { "id": "integrera-en-oidc-server" } }, "depth": 2, "value": "Integrera en OIDC-server" }, { "data": { "id": "hitta-en-oidc-provider", "hProperties": { "id": "hitta-en-oidc-provider" } }, "depth": 3, "value": "Hitta en OIDC provider" }, { "data": { "id": "ämne-klient-och-målgrupp", "hProperties": { "id": "ämne-klient-och-målgrupp" } }, "depth": 3, "value": "Ämne, klient och målgrupp" }, { "data": { "id": "1-en-användare-klickar-på-inloggningsknappen-på-en-webbapplikation", "hProperties": { "id": "1-en-användare-klickar-på-inloggningsknappen-på-en-webbapplikation" } }, "depth": 4, "value": "1. En användare klickar på inloggningsknappen på en webbapplikation" }, { "data": { "id": "2-en-användare-använder-en-enstaka-sid-applikation", "hProperties": { "id": "2-en-användare-använder-en-enstaka-sid-applikation" } }, "depth": 4, "value": "2. En användare använder en enstaka sid-applikation" }, { "data": { "id": "3-en-maskin-till-maskin-kommunikation", "hProperties": { "id": "3-en-maskin-till-maskin-kommunikation" } }, "depth": 4, "value": "3. En maskin-till-maskin-kommunikation" }, { "data": { "id": "sammanfattning", "hProperties": { "id": "sammanfattning" } }, "depth": 4, "value": "Sammanfattning" }, { "data": { "id": "tokens", "hProperties": { "id": "tokens" } }, "depth": 3, "value": "Tokens" }, { "data": { "id": "flera-målgrupper", "hProperties": { "id": "flera-målgrupper" } }, "depth": 3, "value": "Flera målgrupper" }, { "data": { "id": "ange-resource-i-koden-byten-begäran", "hProperties": { "id": "ange-resource-i-koden-byten-begäran" } }, "depth": 4, "value": "Ange resource i koden byten begäran" }, { "data": { "id": "använd-en-refresh-token-för-att-få-en-ny-access-token", "hProperties": { "id": "använd-en-refresh-token-för-att-få-en-ny-access-token" } }, "depth": 4, "value": "Använd en refresh token för att få en ny access token" }, { "data": { "id": "client-credentials-grant", "hProperties": { "id": "client-credentials-grant" } }, "depth": 4, "value": "Client credentials grant" }, { "data": { "id": "skydda-din-api-tjänst", "hProperties": { "id": "skydda-din-api-tjänst" } }, "depth": 3, "value": "Skydda din API-tjänst" }, { "data": { "id": "kontrollera-påståendena", "hProperties": { "id": "kontrollera-påståendena" } }, "depth": 4, "value": "Kontrollera påståendena" }, { "data": { "id": "auktorisering", "hProperties": { "id": "auktorisering" } }, "depth": 2, "value": "Auktorisering" }, { "data": { "id": "avslutande-anteckningar", "hProperties": { "id": "avslutande-anteckningar" } }, "depth": 2, "value": "Avslutande anteckningar" }]; const readingTime = { "minutes": 7, "words": 2107, "text": "7 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", blockquote: "blockquote", code: "code", em: "em", h2: "h2", h3: "h3", h4: "h4", li: "li", p: "p", pre: "pre", span: "span", strong: "strong", ul: "ul", ..._provideComponents(), ...props.components }, {Info, LogtoCloudButton, Note} = _components; if (!Info) _missingMdxReference("Info", true); if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); if (!Note) _missingMdxReference("Note", true); return _jsxs(_Fragment, { children: [_jsxs(_components.h2, { id: "introduktion", children: ["Introduktion", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#introduktion", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Du kan hamna i en situation där du behöver ett centraliserat autentiserings- och auktorisationssystem, även känt som identity access management (IAM) eller identity provider (IdP). Ibland lägger folk till ett ord för att ange affärsverksamheten, som Customer IAM och Workforce IAM." }), "\n", _jsx(_components.p, { children: "Låt oss lägga dessa fina namn åt sidan för ett ögonblick. Behovet av IAM kan uppstå eftersom din applikation växer, eller om du planerar att delegera det tunga arbetet till en leverantör från början. Hur som helst, du närmar dig en punkt där ett identitetssystem kommer att behöva introduceras i ditt projekt." }), "\n", _jsx(_components.p, { children: "Med tanke på populariteten hos OAuth 2.0 är OpenID Connect (OIDC) ett naturligt val för många utvecklare. Eftersom OIDC är ett autentiseringslager som byggs ovanpå OAuth 2.0 kan du känna dig bekant när du börjar arbeta med OIDC. Låt oss komma igång!" }), "\n", _jsxs(_components.h2, { id: "men-först-vad-och-varför", children: ["Men först, vad och varför?", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#men-först-vad-och-varför", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.blockquote, { children: ["\n", _jsx(_components.p, { children: "Känn dig fri att hoppa över denna sektion om du redan är bekant med konceptet identity provider och dess betydelse." }), "\n"] }), "\n", _jsxs(_components.p, { children: ["En OIDC-server, eller identity provider, är ett centraliserat system som hanterar användarautentisering och auktorisering. Som vi diskuterade i ", _jsx(_components.a, { href: "https://blog.logto.io/centralized-identity-system", children: "Why you need a centralized identity system for a multi-app business" }), ", har ett centraliserat identitetssystem många fördelar."] }), "\n", _jsx(_components.p, { children: "Låt oss säga att ditt projekt börjar med en enkel webbapplikation och den har autentisering inbyggd:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "graph LR\n A[Användare] --> B[Webbapplikation]\n" }) }), "\n", _jsx(_components.p, { children: "När ditt projekt växer, behöver du introducera en mobilversion:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "graph LR\n A[Användare] --> B[Webbapplikation]\n A --> C[Mobilapplikation]\n" }) }), "\n", _jsx(_components.p, { children: "Det kommer att bli en dålig upplevelse för användarna om de behöver skapa ett konto för varje applikation. Eftersom du startade med en webbapplikation, låter du mobilapplikationen kommunicera med webbapplikationen för autentisering:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "graph LR\n A[Användare] --> B[Webbapplikation]\n A --> C[Mobilapplikation]\n C --> B\n" }) }), "\n", _jsx(_components.p, { children: "Nu introduceras en ny API-tjänst. Eftersom det är en tjänst för betalande användare, behöver du säkerställa att användaren är autentiserad och auktoriserad att få tillgång till tjänsten. För att uppnå detta, kan du proxya tjänsten genom webbapplikationen:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "graph LR\n A[Användare] --> B[Webbapplikation]\n A --> C[Mobilapplikation]\n C --> B\n B --> D[API-tjänst]\n" }) }), "\n", _jsx(_components.p, { children: "Eller, använd någon form av token-teknik för att autentisera användaren, och validera token genom att kommunicera med webbapplikationen i tjänsten. Därför kan mobilapplikationen använda tjänsten direkt:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "graph LR\n A[Användare] --> B[Webbapplikation]\n A --> C[Mobilapplikation]\n C --> B\n B <--> D[API-tjänst]\n C --> D\n" }) }), "\n", _jsx(_components.p, { children: "Det börjar bli rörigt. Så du bestämmer dig för att dela upp autentiserings- och auktoriseringslogiken i en separat tjänst:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "graph LR\n A[Användare] --> B[Webbapplikation]\n A --> C[Mobilapplikation]\n B --> D[API-tjänst]\n C --> D\n B --> E[Identitetstjänst] \n C --> E\n D --> E \n\n subgraph Applikationer\n B\n C\n end\n\n subgraph Tjänster\n D\n end\n\n subgraph Identitet\n E\n end\n" }) }), "\n", _jsx(_components.p, { children: "Refaktoreringsprocessen kan vara smärtsam. Du kanske märker att dess komplexitet ökar exponentiellt när du lägger till fler applikationer och tjänster till projektet. Ännu värre, du kan behöva underhålla flera autentiseringsmetoder som lösenordslös inloggning, social inloggning, SAML, etc." }), "\n", _jsx(_components.p, { children: "Det är därför det är bäst att introducera en identity provider från början när du har en plan att skala upp ditt projekt." }), "\n", _jsx(Note, { children: _jsx(_components.p, { children: "Naturligtvis finns det några fall där projektet är tillräckligt enkelt och du vet att det kommer att hållas enkelt ett tag. Du kan lämna denna artikel och komma tillbaka när du behöver den." }) }), "\n", _jsxs(_components.h2, { id: "integrera-en-oidc-server", children: ["Integrera en OIDC-server", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#integrera-en-oidc-server", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.h3, { id: "hitta-en-oidc-provider", children: ["Hitta en OIDC provider", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#hitta-en-oidc-provider", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Det finns många OIDC providers tillgängliga på marknaden. Du kan välja en baserat på dina krav och preferenser. Så länge leverantören är OIDC-kompatibel, kommer den att spela samma roll i ditt projekt." }), "\n", _jsx(Info, { children: _jsxs(_components.p, { children: [_jsx(_components.a, { href: "https://logto.io", children: "Logto" }), " är en öppen källkod OIDC provider med färdiga identitets- och åtkomsthanteringsfunktioner."] }) }), "\n", _jsxs(_components.h3, { id: "ämne-klient-och-målgrupp", children: ["Ämne, klient och målgrupp", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#ämne-klient-och-målgrupp", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["För att förenkla konceptet kan vi tänka att ", _jsx(_components.em, { children: "ämnet" }), " är den enhet som begär åtkomst till en ", _jsx(_components.em, { children: "målgrupp" }), " via en ", _jsx(_components.em, { children: "klient" }), "."] }), "\n", _jsx(Note, { title: "Jag kan inte se målgrupp (aud) i token", children: _jsx(_components.p, { children: "När målgrupp saknas, innebär det vanligtvis att målgruppen är OIDC-servern själv." }) }), "\n", _jsx(_components.p, { children: "Låt oss se några typiska scenarier:" }), "\n", _jsxs(_components.h4, { id: "1-en-användare-klickar-på-inloggningsknappen-på-en-webbapplikation", children: ["1. En användare klickar på inloggningsknappen på en webbapplikation", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#1-en-användare-klickar-på-inloggningsknappen-på-en-webbapplikation", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "I en traditionell och serverside-renderad webbapplikation är frontend och backend kopplade. Låt oss säga att webbapplikationen tjänar både frontend och backend:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Ämne" }), ": Användaren"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Målgrupp" }), ": OIDC-servern"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Klient" }), ": Webbapplikationen"] }), "\n"] }), "\n", _jsxs(_components.p, { children: ["Det kan verka kontraintuitivt att målgruppen är OIDC-servern. Faktiskt är det nyckeln till att realisera SSO (Single Sign-On) upplevelse för slutanvändare. Låt oss se ett förenklat sekvensdiagram för ", _jsx(_components.a, { href: "https://blog.logto.io/implicit-flow-is-dead#how-authorization-code-flow-works", children: "authorization code flow" }), ":"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n participant User as Användare
(ämne)\n participant App1 as WebbApp 1
(klient)\n participant App2 as WebbApp 2
(klient)\n participant OIDC as OIDC-server
(målgrupp)\n\n User ->> App1: Klicka på inloggning\n App1 ->> OIDC: Omdirigera
(autentiseringsbegäran)\n OIDC ->> User: Visa inloggningssida\n User ->> OIDC: Logga in\n OIDC ->> App1: Omdirigera med `code`\n App1 ->> OIDC: Byt tokens med `code`\n Note over User: Drick en kopp kaffe\n User ->> App2: Klicka på inloggning\n App2 ->> OIDC: Omdirigera\n OIDC ->> OIDC: Giltig session funnen\n OIDC ->> App2: Omdirigera med `code`\n App2 ->> OIDC: Byt tokens med `code`\n" }) }), "\n", _jsxs(_components.p, { children: [_jsx(_components.code, { children: "code" }), " är en engångskod som kan bytas mot olika tokens, såsom access token, ID token och refresh token. Det är okej om du inte förstår alla dessa tokens just nu. När vi går framåt kommer du att få en bättre förståelse för dem."] }), "\n", _jsx(_components.p, { children: "I ovanstående fall behöver användaren inte logga in igen när de byter till en annan applikation eftersom användaren (ämnet) redan har autentiserats med OIDC-servern (målgruppen)." }), "\n", _jsxs(_components.h4, { id: "2-en-användare-använder-en-enstaka-sid-applikation", children: ["2. En användare använder en enstaka sid-applikation", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#2-en-användare-använder-en-enstaka-sid-applikation", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "I en enstaka sid-applikation (eller en mobilapplikation) är frontend och backend separerade. Låt oss säga att backend är en API-tjänst:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Ämne" }), ": Användaren"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Målgrupp" }), ": API-tjänsten"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Klient" }), ": Enstaka sid-applikationen (SPA)"] }), "\n"] }), "\n", _jsx(_components.p, { children: "Ett förenklat sekvensdiagram med authorization code flow:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n participant User as Användare
(ämne)\n participant SPA as Enstaka sid-applikation
(klient)\n participant API as API-tjänst
(målgrupp)\n participant OIDC as OIDC-server
(målgrupp)\n\n User ->> SPA: Klicka på inloggning\n SPA ->> OIDC: Omdirigera
(autentiseringsbegäran)\n OIDC ->> User: Visa inloggningssida\n User ->> OIDC: Logga in\n OIDC ->> SPA: Omdirigera med `code`\n SPA ->> OIDC: Byt tokens med `code`\n User ->> SPA: Försök att visa en skyddad sida\n SPA ->> API: Begär data med access token\n API ->> OIDC: Validera access token\n OIDC ->> API: Okej\n API ->> SPA: Svarar med data\n" }) }), "\n", _jsxs(_components.p, { children: ["Eftersom API-tjänsten är icke-interaktiv, behöver SPA använda access token med API-tjänsten som målgrupp (de ", _jsx(_components.code, { children: "aud" }), " i token)."] }), "\n", _jsx(_components.p, { children: _jsx(_components.strong, { children: "Varför är OIDC-servern fortfarande en målgrupp?" }) }), "\n", _jsx(_components.p, { children: "Tekniskt sett, kan du ta bort OIDC-servern från målgruppslistan. Eftersom du i de flesta fall kommer att behöva användarinformation från OIDC-servern (som kräver att OIDC-servern är målgrupp), är det bättre att alltid inkludera OIDC-servern i målgruppslistan när det involverar användarinteraktion." }), "\n", _jsx(_components.p, { children: _jsx(_components.strong, { children: "Vänta, säger du att vi kan ha flera målgrupper i en autentiseringsbegäran?" }) }), "\n", _jsxs(_components.p, { children: ["Exakt! Kom ihåg att OIDC är byggt ovanpå OAuth 2.0, det är möjligt att utnyttja ", _jsx(_components.a, { href: "https://datatracker.ietf.org/doc/html/rfc8707", children: "RFC 8707: Resource Indicators for OAuth 2.0" }), " i autentiseringsbegäran för att specificera flera målgrupper. Det kräver stöd från både grant och OIDC-servern. ", _jsx(_components.a, { href: "https://logto.io", children: "Logto" }), " stöder denna funktion inbyggt."] }), "\n", _jsxs(_components.h4, { id: "3-en-maskin-till-maskin-kommunikation", children: ["3. En maskin-till-maskin-kommunikation", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#3-en-maskin-till-maskin-kommunikation", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Låt oss säga att du har en tjänst A som behöver kalla tjänst B:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Ämne" }), ": Tjänst A"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Målgrupp" }), ": Tjänst B"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Klient" }), ": Tjänst A"] }), "\n"] }), "\n", _jsxs(_components.p, { children: ["Ett förenklat sekvensdiagram med ", _jsx(_components.a, { href: "https://datatracker.ietf.org/doc/html/rfc6749#section-1.3.4", children: "client credentials grant" }), ":"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n participant ServiceA as Tjänst A
(ämne och klient)\n participant ServiceB as Tjänst B
(målgrupp)\n participant OIDC as OIDC-server\n\n ServiceA ->> OIDC: Begär access token
med klientuppgifter (token-begäran)\n OIDC ->> ServiceA: Access token\n ServiceA ->> ServiceB: Begär data med access token\n ServiceB ->> OIDC: Validera access token\n OIDC ->> ServiceB: Okej\n ServiceB ->> ServiceA: Svarar med data\n" }) }), "\n", _jsx(_components.p, { children: "När tjänst B behöver kalla tjänst A, är rollerna enkelt ombytta." }), "\n", _jsxs(_components.h4, { id: "sammanfattning", children: ["Sammanfattning", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#sammanfattning", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Ämne" }), ": Det kan vara en användare, en tjänst, eller någon enhet som behöver få tillgång till målgruppen."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Klient" }), ": Det kan vara en webbapplikation, en mobilapplikation, eller någon enhet som initierar begäran eller agerar på ämnets vägnar."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Målgrupp" }), ": Det kan vara en tjänst, en API, eller någon enhet som ger åtkomst till ämnet."] }), "\n"] }), "\n", _jsxs(_components.h3, { id: "tokens", children: ["Tokens", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#tokens", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Det finns tre typer av tokens du kan stöta på när du arbetar med OIDC:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Access token" }), ": Den används för att få tillgång till målgruppen. Det kan vara en JWT (JSON Web Token) eller en opak token (vanligtvis en slumpmässig sträng)."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "ID token" }), ": En OIDC-specifik token som innehåller användarinformation. Det är alltid en JWT. Klienten kan dekoda token för att få användarinformation."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Refresh token" }), ": Den används för att få en ny uppsättning tokens när access token eller ID token löper ut."] }), "\n"] }), "\n", _jsxs(_components.p, { children: ["För en detaljerad förklaring av dessa tokens, kan du referera till ", _jsx(_components.a, { href: "https://blog.logto.io/understanding-tokens-in-oidc", children: "Understanding refresh tokens, access tokens, and ID tokens in OIDC protocol" }), "."] }), "\n", _jsxs(_components.p, { children: ["I ovanstående scenarier 1 och 2, refererar termen ", _jsx(_components.em, { children: "autentiseringsbegäran" }), " till en begäran om att få ett set av tokens via ett specifikt ", _jsx(_components.em, { children: "grant" }), "."] }), "\n", _jsx(Note, { children: _jsxs(_components.p, { children: ["Även om OAuth 2.0 RFC använder termen ", _jsx(_components.em, { children: "grant" }), ", i praktiken, använder folk ofta termen ", _jsx(_components.em, { children: "flow" }), " för att beskriva en mer generell, end-to-end process."] }) }), "\n", _jsxs(_components.p, { children: ["När allt går bra, kommer ett set av tokens att returneras i steget \"Byt tokens med ", _jsx(_components.code, { children: "code" }), "\". Tillgängliga tokens i setet beror på flera faktorer, särskilt ", _jsx(_components.code, { children: "scope" }), " parametern i autentiseringsbegäran. För enkelhetens skull antar vi att alla tokens returneras i setet. När access token löper ut, kan klienten använda refresh token för att få en ny uppsättning tokens utan användarinteraktion."] }), "\n", _jsx(_components.p, { children: "För scenario 3, är det enklare eftersom client credentials grant bara returnerar en access token." }), "\n", _jsxs(_components.h3, { id: "flera-målgrupper", children: ["Flera målgrupper", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#flera-målgrupper", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Du kanske märker att bara en access token returneras åt gången. Hur skulle vi hantera fallet där klienten behöver få tillgång till flera målgrupper?" }), "\n", _jsx(_components.p, { children: "Det finns två vanliga lösningar:" }), "\n", _jsxs(_components.h4, { id: "ange-resource-i-koden-byten-begäran", children: ["Ange ", _jsx(_components.code, { children: "resource" }), " i koden byten begäran", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#ange-resource-i-koden-byten-begäran", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["När klienten byter koden mot tokens kan den ange en ", _jsx(_components.code, { children: "resource" }), " parameter i begäran. OIDC-servern kommer att returnera en access token för den angivna målgruppen om tillämpligt."] }), "\n", _jsx(_components.p, { children: "Här är ett icke-normativt exempel:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-http", children: "POST /token HTTP/1.1\nHost: oidc-server.example.com\nContent-Type: application/x-www-form-urlencoded\n\ngrant_type=authorization_code\n&code=AUTHORIZATION_CODE\n&client_id=CLIENT_ID\n&client_secret=CLIENT_SECRET\n&resource=API_SERVICE\n" }) }), "\n", _jsxs(_components.p, { children: ["Sedan kommer OIDC-servern att returnera en access token för ", _jsx(_components.code, { children: "API_SERVICE" }), " målgruppen, om tillämpligt."] }), "\n", _jsxs(_components.h4, { id: "använd-en-refresh-token-för-att-få-en-ny-access-token", children: ["Använd en refresh token för att få en ny access token", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#använd-en-refresh-token-för-att-få-en-ny-access-token", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["Med RFC 8707, kan klienten till och med specificera flera målgrupper genom att använda ", _jsx(_components.code, { children: "resource" }), " parametern flera gånger. Nu, om refresh tokens är tillgängliga i klienten, kan klienten specificera målgruppen i ", _jsx(_components.code, { children: "resource" }), " parametern när den uppdaterar token."] }), "\n", _jsx(_components.p, { children: "Här är ett icke-normativt exempel:" }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-http", children: "POST /token HTTP/1.1\nHost: oidc-server.example.com\nContent-Type: application/x-www-form-urlencoded\n\ngrant_type=refresh_token\n&refresh_token=REFRESH_TOKEN\n&client_id=CLIENT_ID\n&client_secret=CLIENT_SECRET\n&resource=API_SERVICE\n" }) }), "\n", _jsx(_components.p, { children: "Det har samma effekt som den tidigare lösningen. Samtidigt är andra beviljade målgrupper fortfarande tillgängliga i framtida token begäranden." }), "\n", _jsxs(_components.h4, { id: "client-credentials-grant", children: ["Client credentials grant", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#client-credentials-grant", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["Du kan också använda ", _jsx(_components.code, { children: "resource" }), " parametern i client credentials grant för att specificera målgruppen. Det finns inga problem med flera målgrupper i detta grant eftersom du alltid kan begära en ny access token för en annan målgrupp genom att helt enkelt skicka ytterligare en token begäran."] }), "\n", _jsxs(_components.h3, { id: "skydda-din-api-tjänst", children: ["Skydda din API-tjänst", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#skydda-din-api-tjänst", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "\"API-tjänsten\" i scenario 2 och \"Tjänst B\" i scenario 3 har en sak gemensamt: de behöver validera access token för att avgöra om begäran är auktoriserad. Beroende på formatet på access token kan valideringsprocessen variera." }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Opak token" }), ": API-tjänsten behöver kontakta OIDC-servern för att validera token. En ", _jsx(_components.a, { href: "https://blog.logto.io/oauth2-token-introspection", children: "introspektion endpoint" }), " tillhandahålls vanligtvis av OIDC-servern för detta syfte."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "JWT" }), ": API-tjänsten kan validera token lokalt genom att kontrollera signaturen och hävdande i token. OIDC-servern tillhandahåller vanligtvis en ", _jsx(_components.a, { href: "https://openid.net/specs/openid-connect-discovery-1_0.html#ProviderMetadata", children: "JSON Web Key Set (JWKS) endpoint" }), " (", _jsx(_components.code, { children: "jwks_uri" }), ") för API-tjänsten att få den offentliga nyckeln för att verifiera signaturen."] }), "\n"] }), "\n", _jsxs(_components.p, { children: ["Om du är ny på JWT, kan du referera till ", _jsx(_components.a, { href: "https://blog.logto.io/what-is-jwt", children: "What is JSON Web Token (JWT)?" }), ". Faktiskt finns det vanligtvis inget behov av att validera signaturen och påståendena manuellt eftersom det finns många bibliotek som kan göra det för dig, som ", _jsx(_components.a, { href: "https://github.com/panva/jose", children: "jose" }), " för Node.js och webbläsare."] }), "\n", _jsxs(_components.h4, { id: "kontrollera-påståendena", children: ["Kontrollera påståendena", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#kontrollera-påståendena", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Förutom att validera JWT-signaturen, bör API-tjänsten alltid kontrollera påståendena i token:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "iss" }), ": Token-utfärdaren. Den bör matcha OIDC-serverns utfärdar URL."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "aud" }), ": Token-målgruppen. Den bör matcha API-tjänstens målgruppsvärde (vanligtvis en giltig URI)."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "exp" }), ": Utgångstiden för token. API-tjänsten bör avvisa token om den har löpt ut."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "scope" }), ": Tokenens omfattningar (behörigheter). API-tjänsten bör kontrollera om den begärda omfattningen finns med i token."] }), "\n"] }), "\n", _jsxs(_components.p, { children: ["Andra påståenden, såsom ", _jsx(_components.code, { children: "sub" }), " (ämne) och ", _jsx(_components.code, { children: "iat" }), " (utfärdat vid), är också viktiga i vissa fall. Om du har ytterligare säkerhetsåtgärder, kontrollera påståendena därefter."] }), "\n", _jsxs(_components.h2, { id: "auktorisering", children: ["Auktorisering", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#auktorisering", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["En obesvarad fråga återstår: Hur avgör vi om en ", _jsx(_components.em, { children: "scope" }), " (dvs. behörighet) kan beviljas till ett ämne?"] }), "\n", _jsx(_components.p, { children: "Den enda frågan leder till en helt ny värld av auktorisering, vilket är utanför ämnet för denna artikel. Kort sagt, finns det några vanliga metoder som RBAC (Role-Based Access Control) och ABAC (Attribute-Based Access Control). Här är några resurser för att komma igång:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsx(_components.li, { children: _jsx(_components.a, { href: "https://blog.logto.io/rbac-and-abac", children: "RBAC och ABAC: De åtkomstkontrollmodeller du bör känna till" }) }), "\n", _jsx(_components.li, { children: _jsx(_components.a, { href: "https://blog.logto.io/mastering-rbac", children: "Mastering RBAC in Logto: A Comprehensive Real-World Example" }) }), "\n"] }), "\n", _jsxs(_components.h2, { id: "avslutande-anteckningar", children: ["Avslutande anteckningar", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#avslutande-anteckningar", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Att introducera en OIDC-server i ditt projekt är ett stort steg. Det kan avsevärt förbättra säkerheten och skalbarheten för ditt projekt. Samtidigt kan det ta lite tid att förstå koncepten och interaktionerna mellan komponenterna." }), "\n", _jsx(_components.p, { children: "Att välja en bra OIDC-leverantör som passar dina krav och preferenser kan märkbart minska komplexiteten i integrationsprocessen, eftersom leverantören vanligtvis erbjuder hela paketet, inklusive OIDC-server, auktoriseringsmekanismer, SDKs och de företagsfunktioner du kan behöva i framtiden." }), "\n", _jsxs(_components.p, { children: ["Jag hoppas att denna guide hjälper dig förstå grunderna till att integrera en OIDC-server. Om du letar efter en att börja med, skulle jag osjälviskt rekommendera ", _jsx(_components.a, { href: "https://logto.io", children: "Logto" }), ", vår identitetsinfrastruktur för utvecklare."] }), "\n", _jsx(LogtoCloudButton, {})] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }