"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "hur-fungerar-logtos-anpassade-jwt-fordringar", "hProperties": { "id": "hur-fungerar-logtos-anpassade-jwt-fordringar" } }, "depth": 2, "value": "Hur fungerar Logtos anpassade JWT-fordringar?" }, { "data": { "id": "stärk-din-auktorisering-med-anpassade-jwt-fordringar-ett-praktiskt-exempel", "hProperties": { "id": "stärk-din-auktorisering-med-anpassade-jwt-fordringar-ett-praktiskt-exempel" } }, "depth": 2, "value": "Stärk din auktorisering med anpassade JWT-fordringar: ett praktiskt exempel" }, { "data": { "id": "scenario", "hProperties": { "id": "scenario" } }, "depth": 3, "value": "Scenario" }, { "data": { "id": "logto-konfigurationer", "hProperties": { "id": "logto-konfigurationer" } }, "depth": 3, "value": "Logto-konfigurationer" }, { "data": { "id": "kontrollera-om-den-anpassade-jwt-funktionen-är-aktiverad", "hProperties": { "id": "kontrollera-om-den-anpassade-jwt-funktionen-är-aktiverad" } }, "depth": 3, "value": "Kontrollera om den anpassade JWT-funktionen är aktiverad" }, { "data": { "id": "uppdatera-tjänsteleverantörens-auktoriseringslogik", "hProperties": { "id": "uppdatera-tjänsteleverantörens-auktoriseringslogik" } }, "depth": 3, "value": "Uppdatera tjänsteleverantörens auktoriseringslogik" }, { "data": { "id": "varför-använda-anpassade-jwt-fordringar", "hProperties": { "id": "varför-använda-anpassade-jwt-fordringar" } }, "depth": 3, "value": "Varför använda anpassade JWT-fordringar?" }, { "data": { "id": "slutsats", "hProperties": { "id": "slutsats" } }, "depth": 2, "value": "Slutsats" }]; const readingTime = { "minutes": 7, "words": 2167, "text": "7 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", code: "code", h2: "h2", h3: "h3", li: "li", ol: "ol", p: "p", pre: "pre", span: "span", ul: "ul", ..._provideComponents(), ...props.components }, {Info, LogtoCloudButton, Note} = _components; if (!Info) _missingMdxReference("Info", true); if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); if (!Note) _missingMdxReference("Note", true); return _jsxs(_Fragment, { children: [_jsx(_components.p, { children: "I tidigare artiklar nämnde vi att fler och fler system använder åtkomsttoken i JWT-format för användarauktorisering och åtkomstkontroll. En av de viktiga anledningarna till detta är att JWT kan innehålla användbar information, såsom användarroller och behörigheter. Denna information kan hjälpa oss att överföra användarens identitetsinformation mellan server och klient, och därmed uppnå användarauktorisering och åtkomstkontroll." }), "\n", _jsxs(_components.p, { children: ["Vanligtvis bestäms informationen som ingår i JWT av autentiseringsservern. Enligt OAuth 2.0-protokollet innehåller JWT vanligtvis fält som ", _jsx(_components.code, { children: "sub" }), " (ämne), ", _jsx(_components.code, { children: "aud" }), " (målgrupp) och ", _jsx(_components.code, { children: "exp" }), " (utgångstid), som vanligtvis kallas fordringar. Dessa fordringar kan hjälpa till att verifiera giltigheten av åtkomsttoken."] }), "\n", _jsx(_components.p, { children: "Det finns dock otaliga scenarier där JWT används för verifiering, och vanliga JWT-fordringar kanske ofta inte uppfyller användarbehoven. Folk tänker ofta att eftersom JWT kan innehålla viss information, kan vi lägga till viss information för att göra auktoriseringen enklare?" }), "\n", _jsx(_components.p, { children: "Svaret är JA, vi kan lägga till anpassade fordringar till JWT, såsom den aktuella användarens räckvidd och abonnemangsnivå. På så sätt kan vi överföra användarens identitetsinformation mellan klienten och servern (här avses servern som tillhandahåller olika tjänster, även kallad tjänsteleverantör) för att uppnå användarauktorisering och åtkomstkontroll." }), "\n", _jsxs(_components.p, { children: ["För standard-JWT-fordringar, vänligen hänvisa till ", _jsx(_components.a, { href: "https://datatracker.ietf.org/doc/html/rfc7519", children: "RFC7519" }), ". Logto, som en identitetslösning som stödjer både autentisering och auktorisering, har utökat resurs- och räckviddsfordringarna på denna grund för att stödja standard ", _jsx(_components.a, { href: "https://docs.logto.io/docs/recipes/rbac/", children: "RBAC" }), ". Även om Logtos RBAC-implementering är standard är den inte tillräckligt enkel och flexibel för att passa alla användningsfall."] }), "\n", _jsx(_components.p, { children: "Baserat på detta har Logto lanserat en ny funktion för att anpassa JWT-fordringar, vilket gör att användare kan anpassa ytterligare JWT-fordringar så att användarauktorisering och åtkomstkontroll kan implementeras mer flexibelt." }), "\n", _jsx(LogtoCloudButton, {}), "\n", _jsxs(_components.h2, { id: "hur-fungerar-logtos-anpassade-jwt-fordringar", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#hur-fungerar-logtos-anpassade-jwt-fordringar", children: _jsx(_components.span, { children: "#" }) }), "Hur fungerar Logtos anpassade JWT-fordringar?"] }), "\n", _jsx(_components.p, { children: "Du kan komma till sidan för anpassade JWT-fordringar genom att klicka på \"JWT-fordringar\"-knappen i sidofältet." }), "\n", _jsx("center", { children: _jsx("img", { alt: "anpassad-jwt-listningssida", src: "https://uploads.strapi.logto.io/1/custom_jwt_listing_page_f56a88c98f.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Låt oss börja med att lägga till anpassade fordringar för slutanvändare." }), "\n", _jsxs(_components.p, { children: ["I redigeraren till vänster kan du anpassa din ", _jsx(_components.code, { children: "getCustomJwtClaims" }), "-funktion. Denna metod har tre inmatningsparametrar: ", _jsx(_components.code, { children: "token" }), ", ", _jsx(_components.code, { children: "data" }), " och ", _jsx(_components.code, { children: "envVariables" }), "."] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "token" }), " är den råa åtkomsttokenens payload som erhålls baserat på den aktuella slutanvändarens referenser och din systemkonfiguration, samt användarens åtkomstrelaterade information i Logto"] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "data" }), " är all information om användaren i Logto, inklusive alla användarens roller, social inloggningsidentiteter, SSO-identiteter, organisationsmedlemskap, etc."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "envVariables" }), " är de miljövariabler du konfigurerade i Logto för den aktuella slutanvändarens åtkomsttokens användningsscenario, såsom API-nyckel(-ar) för de nödvändiga externa API:erna, etc."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "detaljsida-användardata", src: "https://uploads.strapi.logto.io/1/details_page_user_data_a92388f24a.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Korterna till höger kan utökas för att visa introduktionen av de motsvarande parametrarna, och du kan också ställa in miljövariablerna för det aktuella scenariot här." }), "\n", _jsx("center", { children: _jsx("img", { alt: "detaljsida-användartest", src: "https://uploads.strapi.logto.io/1/details_page_user_test_93932f6e66.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Efter att ha läst introduktionerna av alla korten till höger kan du byta till testläge, där du kan redigera testdata och använda de redigerade testdata för att kontrollera om beteendet hos skriptet du skrev i kodedigeraren till vänster uppfyller dina förväntningar." }), "\n", _jsxs(_components.p, { children: ["Detta är ett sekvensdiagram som visar exekveringsprocessen för ", _jsx(_components.code, { children: "getCustomJwtClaims" }), "-funktionen när en slutanvändare initierar en autentiseringsförfrågan till Logto och slutligen får JWT-formatets åtkomsttoken som returneras av Logto."] }), "\n", _jsxs(_components.p, { children: ["Om funktionen Anpassad JWT inte är aktiverad, kommer steg 3 i figuren att hoppas över och steg 4 kommer att utföras direkt efter att steg 2 har avslutats. Vid denna tidpunkt kommer Logto att anta returvärdet av ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " till att vara ett tomt objekt och sedan fortsätta att gå igenom efterföljande steg."] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n participant U as User eller användaragent\n participant IdP as Logto (identitetsleverantör)\n participant SP as Tjänsteleverantör\n\n autonumber\n U ->> IdP: Autentiseringsförfrågan (med referenser)\n activate IdP\n IdP-->>IdP: Validera referenser &
generera rå payload för åtkomsttoken\n rect rgb(191, 223, 255)\n note over IdP: Anpassad JWT\n IdP->>IdP: Kör anpassat JWT-fordringssrbkt (`getCustomJwtClaims`) &
få extra JWT-fordringar\n end\n IdP-->>IdP: Slå samman rå payload för åtkomsttoken och extra JWT-fordringar\n IdP-->>IdP: Signera & kryptera payload för att få åtkomsttoken i JWT-format\n deactivate IdP\n IdP-->>U: Utfärda åtkomsttoken i JWT-format\n par Få tjänst via API\n U->>SP: tjänstbegäran (med åtkomsttoken i JWT-format)\n SP-->>U: tjänstsvar\n end\n" }) }), "\n", _jsx(Note, { children: _jsxs(_components.p, { children: ["Av säkerhetsskäl, om JWT-fordringar som returneras av Logtos ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " redan\nfinns i åtkomsttokens payload, kommer dessa fordringar INTE att träda i kraft och de kommer INTE att kunna\nskriva över de befintliga fordringarna."] }) }), "\n", _jsxs(_components.h2, { id: "stärk-din-auktorisering-med-anpassade-jwt-fordringar-ett-praktiskt-exempel", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#stärk-din-auktorisering-med-anpassade-jwt-fordringar-ett-praktiskt-exempel", children: _jsx(_components.span, { children: "#" }) }), "Stärk din auktorisering med anpassade JWT-fordringar: ett praktiskt exempel"] }), "\n", _jsx(_components.p, { children: "I föregående avsnitt introducerade vi arbetsprincipen för Logtos anpassade JWT. I denna del ska vi visa dig hur du använder Logtos anpassade JWT-fordringar för att förbättra flexibiliteten i auktorisering och prestanda för tjänsteleverantören genom ett verkligt exempel." }), "\n", _jsxs(_components.h3, { id: "scenario", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#scenario", children: _jsx(_components.span, { children: "#" }) }), "Scenario"] }), "\n", _jsx(_components.p, { children: "Johns team utvecklade en AI Assistant-app som låter användare konversera med AI-robotar för att få olika tjänster." }), "\n", _jsx(_components.p, { children: "AI-robotens tjänster är uppdelade i gratis och betalda tjänster. Gratistjänster inkluderar specialerbjudanden på flygbiljetter, medan betalda tjänster inkluderar aktieprognoser." }), "\n", _jsx(_components.p, { children: "AI Assistant-appen använder Logto för att hantera alla användare, som är indelade i tre typer: gratianvändare, förbetalda användare och premiumanvändare. Gratianvändare kan endast använda gratistjänster, förbetalda användare kan använda alla tjänster (debiteras efter användning), och premiumanvändare kan använda alla tjänster (men har gränser för att förhindra missbruk)." }), "\n", _jsx(_components.p, { children: "Dessutom använder AI Assistant-appen Stripe för att hantera användarbetalningar och har sin egen loggningstjänst för att registrera användarens operationsloggar." }), "\n", _jsxs(_components.h3, { id: "logto-konfigurationer", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#logto-konfigurationer", children: _jsx(_components.span, { children: "#" }) }), "Logto-konfigurationer"] }), "\n", _jsxs(_components.p, { children: ["Först skapar vi API-resurser för AI Assistant-appens tjänst och skapar två scopes, ", _jsx(_components.code, { children: "recommend:flight" }), " och ", _jsx(_components.code, { children: "predict:stock" }), "."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "ai-assistant-app-resurs", src: "https://uploads.strapi.logto.io/1/ai_assistant_app_resource_e3c2ee0f03.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Sedan skapar vi två ", _jsx(_components.code, { children: "roller" }), ", ", _jsx(_components.code, { children: "gratisanvändare" }), " och ", _jsx(_components.code, { children: "betalande användare" }), ", och tilldelar motsvarande scopes:"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: ["Tilldela scope ", _jsx(_components.code, { children: "recommend:flight" }), " till ", _jsx(_components.code, { children: "gratisanvändare" }), "-rollen."] }), "\n", _jsxs(_components.li, { children: ["Tilldela både ", _jsx(_components.code, { children: "recommend:flight" }), " och ", _jsx(_components.code, { children: "predict:stock" }), " scopes till ", _jsx(_components.code, { children: "betalande användare" }), "-rollen."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "gratisanvändare-roll", src: "https://uploads.strapi.logto.io/1/free_user_role_153a0277ba.webp", width: "800" }) }), "\n", _jsx("center", { children: _jsx("img", { alt: "betalande-användare-roll", src: "https://uploads.strapi.logto.io/1/paid_user_role_d2fa9f5db6.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Slutligen skapar vi tre användare, ", _jsx(_components.code, { children: "gratisanvändare" }), ", ", _jsx(_components.code, { children: "förbetald-användare" }), " och ", _jsx(_components.code, { children: "premium-användare" }), " och tilldelar motsvarande roller:"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: ["Tilldela ", _jsx(_components.code, { children: "gratisanvändare" }), "-rollen till användaren ", _jsx(_components.code, { children: "gratisanvändare" }), "."] }), "\n", _jsxs(_components.li, { children: ["Tilldela ", _jsx(_components.code, { children: "betalande-användare" }), "-rollen till användarna ", _jsx(_components.code, { children: "förbetald-användare" }), " och ", _jsx(_components.code, { children: "premium-användare" }), "."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "tilldela-gratisanvändare-roll", src: "https://uploads.strapi.logto.io/1/assign_free_user_role_f7d37cb5c9.webp", width: "800" }) }), "\n", _jsx("center", { children: _jsx("img", { alt: "tilldela-betalande-användare-roll", src: "https://uploads.strapi.logto.io/1/assign_paid_user_role_2dbfd74d6e.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Som visas i följande bild hoppas vi att inkludera informationen ", _jsx(_components.code, { children: "roller" }), ", ", _jsx(_components.code, { children: "balans" }), " och ", _jsx(_components.code, { children: "numOfCallsToday" }), " för den inloggade användaren i JWT för att implementera den auktoriseringsinformation som krävs för scenariot som beskrivs ovan. När vi verifierar åtkomsttoken i AI Assistant-appen kan denna information användas för att snabbt utföra behörighetsverifiering."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "testa-anpassade-jwt-fordringar", src: "https://uploads.strapi.logto.io/1/test_custom_jwt_claims_3fcd4c2004.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Efter konfiguration av ", _jsx(_components.code, { children: "envVariables" }), " implementerar vi ", _jsx(_components.code, { children: "getCustomJwtClaims" }), "-funktionen och klickar på \"Kör test\"-knappen för att se resultatet av de extra JWT-fordringarna baserat på den aktuella testdata."] }), "\n", _jsxs(_components.p, { children: ["Eftersom vi inte har konfigurerat testdata för ", _jsx(_components.code, { children: "data.user.roles" }), ", visas ", _jsx(_components.code, { children: "roller" }), " i resultatet som en tom array."] }), "\n", _jsxs(_components.h3, { id: "kontrollera-om-den-anpassade-jwt-funktionen-är-aktiverad", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#kontrollera-om-den-anpassade-jwt-funktionen-är-aktiverad", children: _jsx(_components.span, { children: "#" }) }), "Kontrollera om den anpassade JWT-funktionen är aktiverad"] }), "\n", _jsxs(_components.p, { children: ["Enligt Logto-konfigurationen ovan fick vi motsvarande resultat i testet. Nästa, vi använder ett exempel på appen som Logto har tillhandahållit för att verifiera om vår anpassade JWT är effektiv. Hitta SDK:n du är bekant med på ", _jsx(_components.a, { href: "https://docs.logto.io/sdk/", children: "Logto SDKs" }), " och distribuera en provapp enligt dokumentationen och motsvarande GitHub-repo."] }), "\n", _jsxs(_components.p, { children: ["Baserat på konfigurationen vi beskrev ovan, med ", _jsx(_components.a, { href: "https://docs.logto.io/sdk/react/", children: "React SDK" }), " som exempel, behöver vi uppdatera motsvarande konfiguration i LogtoConfig:"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "import { LogtoProvider, LogtoConfig, UserScope } från '@logto/react';\n\nconst config: LogtoConfig = {\n appId,\n endpoint,\n scopes: [\n UserScope.Email,\n UserScope.Phone,\n UserScope.CustomData,\n UserScope.Identities,\n UserScope.Organizations,\n \"recommend:flight\",\n \"predict:stock\",\n ],\n resources: [\"https://api.aiassistant.app/v1\"]\n};\n\nconst App = () => (\n \n \n \n);\n" }) }), "\n", _jsxs(_components.p, { children: ["Efter att ha loggat in användaren ", _jsx(_components.code, { children: "gratis_användare" }), " i exempelappen som simulerar AI Assistant-appen, kan vi se informationen ", _jsx(_components.code, { children: "roller" }), ", ", _jsx(_components.code, { children: "balans" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " och ", _jsx(_components.code, { children: "isPremiumUser" }), " som vi lade till genom att visa payload-delen av JWT-åtkomsttoken."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "exempelappen-åtkomsttoken-förhandsvisning-gratis", src: "https://uploads.strapi.logto.io/1/sample_app_access_token_preview_free_117a8594c8.webp", width: "400" }) }), "\n", _jsxs(_components.p, { children: ["Värdena för ", _jsx(_components.code, { children: "balans" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " och ", _jsx(_components.code, { children: "isPremiumUser" }), " överensstämmer med tidigare test, och ", _jsx(_components.code, { children: "roller" }), " är lika med ", _jsx(_components.code, { children: "[\"gratisanvändare\"]" }), ". Detta beror på att vi under den faktiska slutanvändarinloggningsprocessen får all tillgänglig data om användaren och behandlar den därefter."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "prov-app-åtkomsttoken-förhandsvisning-premium", src: "https://uploads.strapi.logto.io/1/sample_app_access_token_preview_premium_673f6f3db1.webp", width: "400" }) }), "\n", _jsxs(_components.p, { children: ["För premiumanvändare kan vi se att ", _jsx(_components.code, { children: "roller" }), " är ", _jsx(_components.code, { children: "[\"betalande-användare\"]" }), " och både ", _jsx(_components.code, { children: "isPaidUser" }), " och ", _jsx(_components.code, { children: "isPremiumUser" }), " är ", _jsx(_components.code, { children: "true" }), "."] }), "\n", _jsxs(_components.h3, { id: "uppdatera-tjänsteleverantörens-auktoriseringslogik", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#uppdatera-tjänsteleverantörens-auktoriseringslogik", children: _jsx(_components.span, { children: "#" }) }), "Uppdatera tjänsteleverantörens auktoriseringslogik"] }), "\n", _jsx(_components.p, { children: "I de tidigare stegen lade vi till anpassade fordringar baserat på affärsbehov till användarens åtkomsttoken. Därefter kan vi använda dessa fordringar för att snabbt utföra auktoriseringsverifiering." }), "\n", _jsxs(Note, { children: [_jsx(_components.p, { children: "Det är viktigt att notera att vi inte rekommenderar att helt förlita sig på anpassade fordringar för auktoriseringsverifiering." }), _jsx(_components.p, { children: "Eftersom RBAC-implementeringen följer principen om minsta privilegier, för att säkerställa säkerhet, bör verifieringen som använder anpassade fordringar vara en ytterligare hjälpverifiering baserad på RBAC. Detta är för att undvika att utöka omfattningen av användarauktoriseringsbehörigheter på grund av införandet av ytterligare anpassade fordringar." })] }), "\n", _jsxs(_components.p, { children: ["Här erbjuder vi logiken för hur Logto verifierar JWT-åtkomsttoken på API-sidan. Den fullständiga kodimplementeringen finns i ", _jsx(_components.a, { href: "https://github.com/logto-io/logto/blob/master/packages/core/src/middleware/koa-auth/index.ts", children: "GitHub-repo" }), ":"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "import typ { IncomingHttpHeaders } från 'node:http';\n\nimport { createLocalJWKSet, jwtVerify, typ JWK } från 'jose';\n\nconst extractBearerTokenFromHeaders = (\n { authorization }: IncomingHttpHeaders\n) => {\n const bearerTokenIdentifier = 'Bearer';\n\n assertThat(\n authorization,\n new RequestError({\n code: 'auth.authorization_header_missing',\n status: 401\n })\n );\n assertThat(\n authorization.startsWith(bearerTokenIdentifier),\n new RequestError(\n { code: 'auth.authorization_token_type_not_supported', status: 401 },\n { supportedTypes: [bearerTokenIdentifier] }\n )\n );\n\n return authorization.slice(bearerTokenIdentifier.length + 1);\n};\n\nconst verifyBearerTokenFromRequest = async (\n publicJwks: JWT;\n issuer: string,\n request: Request,\n audience: Optional\n): Promise => {\n try {\n // Hämta de offentliga JWK:erna och utfärdaren.\n const [keys, issuer] = await getKeysAndIssuer();\n const { payload } = await jwtVerify(\n extractBearerTokenFromHeaders(request.headers),\n createLocalJWKSet({ keys }),\n {\n issuer,\n audience,\n }\n );\n\n const { sub, client_id: clientId, scope = '' } = payload;\n assertThat(sub,\n new RequestError({ code: 'auth.jwt_sub_missing', status: 401 }));\n\n return { sub, clientId, scopes: z.string().parse(scope).split(' ') };\n } catch (error: unknown) {\n if (error instanceof RequestError) {\n throw error;\n }\n\n throw new RequestError(\n { code: 'auth.unauthorized', status: 401 },\n error\n );\n }\n};\n" }) }), "\n", _jsxs(_components.p, { children: ["Du kan hänvisa till Logto API:s logik för att verifiera åtkomsttoken och anpassa den enligt din egen affärslogik. Till exempel, för AI-assistentappens scenario som beskrivs här, kan du lägga till verifieringslogik för anpassade fordringar såsom ", _jsx(_components.code, { children: "roller" }), ", ", _jsx(_components.code, { children: "balans" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " och ", _jsx(_components.code, { children: "isPremiumUser" }), " i funktionen ", _jsx(_components.code, { children: "verifyBearerTokenFromRequest" }), "."] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "const verifyBearerTokenFromRequest = async (\n publicJwks: JWT;\n issuer: string,\n request: Request,\n audience: Optional\n): Promise => {\n try {\n // Hämta de offentliga JWK:erna och utfärdaren.\n const [keys, issuer] = await getKeysAndIssuer();\n const { payload } = await jwtVerify(\n extractBearerTokenFromHeaders(request.headers),\n createLocalJWKSet({ keys }),\n {\n issuer,\n audience,\n }\n );\n\n const {\n sub,\n client_id: clientId,\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser,\n scope = ''\n } = payload;\n assertThat(sub,\n new RequestError({ code: 'auth.jwt_sub_missing', status: 401 }));\n\n return {\n sub,\n clientId,\n scopes: z.string().parse(scope).split(' '),\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser\n };\n } catch (error: unknown) {\n if (error instanceof RequestError) {\n throw error;\n }\n\n throw new RequestError({ code: 'auth.unauthorized', status: 401 }, error);\n }\n};\n\nconst authorizeBearerTokenPayload = (\n payload: Payload,\n requiredScopes: string[],\n requiredRoles: string[]\n): void => {\n const {\n scope,\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser\n } = payload;\n const scopes: string[] = scope.split(' ');\n\n // RBAC-validering.\n /**\n * `gratis-användare` har inte `predict:stock` scope, så om API:et kräver\n * `predict:stock` scope kommer begäran att avvisas direkt.\n */\n assertThat(\n requiredScopes.every((scope) => payload.scopes.includes(scope)),\n new RequestError(\n { code: 'auth.insufficient_scope', status: 403 },\n { requiredScopes })\n );\n\n /** Validering på extra fordringar i `payload`. */\n assertThat(\n roles.includes('paid-user') && isPaidUser,\n new RequestError({ code: 'auth.role_mismatch', status: 403 }));\n // Antag att den dagliga samtalsgränsen är 100.\n assertThat(\n numOfCallsToday < 100,\n new RequestError({ code: 'auth.rate_limit_exceeded', status: 403 }));\n // Inget behov av att kontrollera `balans` för premium-användare.\n if (isPremiumUser) {\n return;\n }\n // Kan komma åt tjänsten endast när balansen är positiv.\n assertThat(\n balance > 0,\n new RequestError({ code: 'auth.balance_insufficient', status: 403 }));\n /** Validering på extra fordringar i `payload`. */\n};\n" }) }), "\n", _jsx(_components.p, { children: "Ovanstående exempel gäller scenariot där det påverkar slutanvändarens inloggning och erhållande av JWT-åtkomsttoken. Om ditt användningsfall är maskin-till-maskin (M2M) kan du också konfigurera anpassade JWT-fordringar för M2M-appar separat." }), "\n", _jsx(_components.p, { children: "Att konfigurera anpassade JWT för användare kommer inte att påverka resultatet av M2M-appar som erhåller åtkomsttoken, och vice versa." }), "\n", _jsxs(_components.p, { children: ["På grund av generellheten av M2M-anslutningar, tillhandahåller Logto för närvarande inte funktionen av ", _jsx(_components.code, { children: "getCustomJwtClaims" }), "-metoden för M2M-applikationer att acceptera intern data från Logto. I övrigt är konfigurationsmetoden för anpassade JWT för M2M-applikationer densamma som för användarapplikationer. Denna artikel kommer inte att fördjupa sig i det. Du kan använda Logtos anpassade JWT-funktion för att komma igång."] }), "\n", _jsxs(_components.h3, { id: "varför-använda-anpassade-jwt-fordringar", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#varför-använda-anpassade-jwt-fordringar", children: _jsx(_components.span, { children: "#" }) }), "Varför använda anpassade JWT-fordringar?"] }), "\n", _jsx(_components.p, { children: "Vi har tillhandahållit AI Assistant-appen scenariet för John och hur man använder Logtos Custom JWT-funktion för att uppnå mer flexibel auktoriseringsverifiering. I denna process kan vi se fördelarna med Custom JWT-funktion:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: ["Utan Custom JWT-funktion behöver användarna begära ett externt API (såsom det du gör i ", _jsx(_components.code, { children: "getCustomJwtClaims" }), ") varje gång de kontrollerar behörigheter. För tjänsteleverantören som tillhandahåller detta API, kan detta öka den extra bördan. Med Custom JWT-funktion kan denna information läggas direkt i JWT, vilket minskar de frekventa samtalen till det externa API:et."] }), "\n", _jsx(_components.li, { children: "För tjänsteleverantörer kan Custom JWT-funktion hjälpa dem att verifiera användarbehörigheter snabbare, särskilt när klienten ofta ringer till tjänsteleverantören, vilket förbättrar tjänstens prestanda." }), "\n", _jsx(_components.li, { children: "Custom JWT-funktionen kan hjälpa dig att snabbt genomföra ytterligare auktoriseringsinformation som krävs av verksamheten, och informationen kan överföras mellan klienten och tjänsteleverantören på ett säkert sätt eftersom JWT är självförsörjande och kan krypteras så att det är svårt att förfalska." }), "\n"] }), "\n", _jsx(Info, { children: _jsx(_components.p, { children: "Det är viktigt att notera att, som vi nämnde i ett tidigare blogginlägg, en gång en JWT-åtkomsttoken är\nutfärdad, kommer det inte att ändras under dess giltighetsperiod. Därför bör informationen som ingår i de\nanpassade JWT-fordringarna kombineras med faktiska affärsbehov och undvika att inkludera information\nsom är viktig för auktorisering men förändrar sig drastiskt under giltighetsperioden för\nåtkomsttoken." }) }), "\n", _jsxs(_components.p, { children: ["Samtidigt, eftersom ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " utförs varje gång en användare behöver Logto för att utfärda en åtkomsttoken, är det nödvändigt att undvika att utföra alltför komplex logik och externa API-förfrågningar med höga bandbreddskrav. Annars kan det ta för lång tid för slutanvändare att vänta på resultatet av ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " under inloggningsprocessen. Om din ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " returnerar ett tomt objekt, rekommenderar vi starkt att du tillfälligt tar bort denna konfigurationspost tills du faktiskt behöver använda den."] }), "\n", _jsxs(_components.h2, { id: "slutsats", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#slutsats", children: _jsx(_components.span, { children: "#" }) }), "Slutsats"] }), "\n", _jsx(_components.p, { children: "I denna artikel har Logto utökat den grundläggande JWT-åtkomsttoken och utökat funktionen av extra JWT-fordringar för att låta användare lägga till ytterligare slutanvändarinformation i JWT-åtkomsttoken enligt deras affärsbehov, så att efter användarens inloggning kan användarbehörigheterna snabbt verifieras." }), "\n", _jsx(_components.p, { children: "Vi tillhandahåller scenariot för Johns AI Assistant-app och demonstrerar hur man använder Logtos anpassade JWT-funktion för att uppnå mer flexibel auktoriseringsverifiering. Vi pekar också på några nyckelpunkter för att använda anpassade JWT:er. I kombination med faktiska affärsscenarier kan användare lägga olika användarrelaterad information i JWT-åtkomsttoken enligt deras affärsbehov, så att tjänsteleverantören snabbt kan verifiera användarbehörigheterna." }), "\n", _jsx(LogtoCloudButton, {})] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }