"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "logto-özel-jwt-iddiaları-nasıl-çalışır", "hProperties": { "id": "logto-özel-jwt-iddiaları-nasıl-çalışır" } }, "depth": 2, "value": "Logto özel JWT iddiaları nasıl çalışır?" }, { "data": { "id": "özel-jwt-iddiaları-ile-yetkilendirmeyi-artırın-pratik-bir-örnek", "hProperties": { "id": "özel-jwt-iddiaları-ile-yetkilendirmeyi-artırın-pratik-bir-örnek" } }, "depth": 2, "value": "Özel JWT iddiaları ile yetkilendirmeyi artırın: pratik bir örnek" }, { "data": { "id": "senaryo-kurulumu", "hProperties": { "id": "senaryo-kurulumu" } }, "depth": 3, "value": "Senaryo kurulumu" }, { "data": { "id": "logto-yapılandırmaları", "hProperties": { "id": "logto-yapılandırmaları" } }, "depth": 3, "value": "Logto yapılandırmaları" }, { "data": { "id": "özel-jwt-özelliğinin-devreye-girip-girmediğini-kontrol-edin", "hProperties": { "id": "özel-jwt-özelliğinin-devreye-girip-girmediğini-kontrol-edin" } }, "depth": 3, "value": "Özel JWT özelliğinin devreye girip girmediğini kontrol edin" }, { "data": { "id": "hizmet-sağlayıcının-yetkilendirme-mantığını-güncelleyin", "hProperties": { "id": "hizmet-sağlayıcının-yetkilendirme-mantığını-güncelleyin" } }, "depth": 3, "value": "Hizmet sağlayıcının yetkilendirme mantığını güncelleyin" }, { "data": { "id": "neden-özel-jwt-iddiaları-kullanmalısınız", "hProperties": { "id": "neden-özel-jwt-iddiaları-kullanmalısınız" } }, "depth": 3, "value": "Neden özel JWT iddiaları kullanmalısınız?" }, { "data": { "id": "sonuç", "hProperties": { "id": "sonuç" } }, "depth": 2, "value": "Sonuç" }]; const readingTime = { "minutes": 7, "words": 1967, "text": "7 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", code: "code", h2: "h2", h3: "h3", li: "li", ol: "ol", p: "p", pre: "pre", span: "span", ul: "ul", ..._provideComponents(), ...props.components }, {Info, LogtoCloudButton, Note} = _components; if (!Info) _missingMdxReference("Info", true); if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); if (!Note) _missingMdxReference("Note", true); return _jsxs(_Fragment, { children: [_jsx(_components.p, { children: "Önceki makalelerde, giderek daha fazla sistemin kullanıcı kimlik doğrulaması ve erişim kontrolü için JWT formatında erişim belirteçleri kullandığını belirtmiştik. Bunun önemli nedenlerinden biri, JWT'nin kullanıcı rolleri ve izinleri gibi bazı yararlı bilgileri içerebilmesidir. Bu bilgiler, sunucu ile istemci arasında kullanıcı kimlik bilgilerini iletmemize yardımcı olabilir ve böylece kullanıcı kimlik doğrulaması ve erişim kontrolü sağlanabilir." }), "\n", _jsxs(_components.p, { children: ["Genellikle JWT'de yer alan bilgiler, kimlik doğrulama sunucusu tarafından belirlenir. OAuth 2.0 protokolüne göre, JWT genellikle ", _jsx(_components.code, { children: "sub" }), " (konu), ", _jsx(_components.code, { children: "aud" }), " (hedef kitle) ve ", _jsx(_components.code, { children: "exp" }), " (son kullanma süresi) gibi alanları içerir ve bunlar iddialar olarak adlandırılır. Bu iddialar, erişim belirtecinin geçerliliğini doğrulamaya yardımcı olabilir."] }), "\n", _jsx(_components.p, { children: "Ancak, JWT'nin doğrulama için kullanıldığı sayısız senaryo vardır ve yaygın JWT iddiaları genellikle kullanıcı ihtiyaçlarını karşılayamayabilir. İnsanlar genellikle JWT'nin bazı bilgileri içerebildiğini düşündüğünden, yetkilendirmeyi kolaylaştırmak için ona bazı bilgiler ekleyebilir miyiz diye düşünür." }), "\n", _jsx(_components.p, { children: "Cevap EVET, JWT'ye mevcut kullanıcının kapsamı ve abonelik seviyesi gibi özel iddialar ekleyebiliriz. Bu şekilde, kullanıcı kimlik bilgilerini istemci ile sunucu arasında (burada çeşitli farklı hizmetler sağlayan sunucu, diğer adıyla hizmet sağlayıcı) iletebilir ve kullanıcı kimlik doğrulaması ve erişim kontrolü sağlayabiliriz." }), "\n", _jsxs(_components.p, { children: ["Standart JWT iddiaları hakkında daha fazla bilgi için ", _jsx(_components.a, { href: "https://datatracker.ietf.org/doc/html/rfc7519", children: "RFC7519" }), " rehberine başvurabilirsiniz. Hem kimlik doğrulama hem de yetkilendirme desteği sağlayan bir kimlik çözümü olarak Logto, bu temelde kaynak ve kapsam iddialarını genişleterek standart ", _jsx(_components.a, { href: "https://docs.logto.io/docs/recipes/rbac/", children: "RBAC" }), " desteği sunar. Logto'nun RBAC uygulaması standarttır, ancak tüm kullanım durumlarına uygun olacak kadar basit ve esnek değildir."] }), "\n", _jsx(_components.p, { children: "Buna dayanarak, Logto, kullanıcıların ek JWT iddialarını özelleştirebileceği yeni bir özellik olan JWT iddialarını özelleştirme özelliğini başlattı, böylece kullanıcı kimlik doğrulaması ve erişim kontrolü daha esnek bir şekilde uygulanabilir." }), "\n", _jsx(LogtoCloudButton, {}), "\n", _jsxs(_components.h2, { id: "logto-özel-jwt-iddiaları-nasıl-çalışır", children: ["Logto özel JWT iddiaları nasıl çalışır?", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#logto-özel-jwt-iddiaları-nasıl-çalışır", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Kenar çubuğundaki \"JWT iddiaları\" düğmesine tıklayarak Özel JWT listeleme sayfasına erişebilirsiniz." }), "\n", _jsx("center", { children: _jsx("img", { alt: "Özel JWT listeleme sayfası", src: "https://uploads.strapi.logto.io/1/custom_jwt_listing_page_f56a88c98f.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Son kullanıcılar için özel iddialar eklemeye başlamadan önce." }), "\n", _jsxs(_components.p, { children: ["Soldaki editörde ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " fonksiyonunuzu özelleştirebilirsiniz. Bu metodun üç giriş parametresi vardır: ", _jsx(_components.code, { children: "token" }), ", ", _jsx(_components.code, { children: "data" }), " ve ", _jsx(_components.code, { children: "envVariables" }), "."] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "token" }), ", mevcut son kullanıcının kimlik bilgilerine ve sistem yapılandırmanıza dayanarak elde edilen ham erişim belirteci yükü ve Logto'daki kullanıcının erişimle ilgili bilgileridir."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "data" }), ", Logto'daki kullanıcıyla ilgili tüm bilgileri içerir; tüm kullanıcı rolleri, sosyal oturum açma kimlikleri, SSO kimlikleri, organizasyon üyelikleri vb."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "envVariables" }), ", Logto'daki mevcut son kullanıcı erişim belirteci kullanım senaryosu için yapılandırdığınız ortam değişkenleridir; örneğin, gerekli dış API'lerin API anahtarı/anahtarları vb."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "detay sayfası kullanıcı verileri", src: "https://uploads.strapi.logto.io/1/details_page_user_data_a92388f24a.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Sağdaki kartlar genişletilebilir ve ilgili parametrelerin tanıtımını gösterebilir, ayrıca mevcut senaryo için ortam değişkenlerini burada ayarlayabilirsiniz." }), "\n", _jsx("center", { children: _jsx("img", { alt: "detay sayfası kullanıcı testi", src: "https://uploads.strapi.logto.io/1/details_page_user_test_93932f6e66.webp", width: "800" }) }), "\n", _jsx(_components.p, { children: "Sağdaki tüm kartların tanıtımlarını okuduktan sonra test moduna geçebilirsiniz; burada test verilerini düzenleyebilir ve yazdığınız betiğin soldaki kod editöründe beklentilerinizi karşılayıp karşılamadığını kontrol etmek için düzenlenen test verilerini kullanabilirsiniz." }), "\n", _jsxs(_components.p, { children: ["Bu, bir son kullanıcı Logto'ya kimlik doğrulama isteği başlattığında ve sonunda Logto tarafından döndürülen JWT formatında erişim belirteci elde ettiğinde, ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " fonksiyonunun yürütme sürecini gösteren bir sıra diyagramıdır."] }), "\n", _jsxs(_components.p, { children: ["Özel JWT özelliği etkin değilse, şekil 3'teki adım atlanacak ve 2. adımın bitiminden hemen sonra 4. adım yürütülecektir. Bu durumda, Logto, ", _jsx(_components.code, { children: "getCustomJwtClaims" }), "'in geri dönüş değerini boş bir nesne olarak varsayacak ve ardından sonraki adımlara devam edecektir."] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "sequenceDiagram\n participant U as Kullanıcı veya kullanıcı aracı\n participant IdP as Logto (kimlik sağlayıcı)\n participant SP as Hizmet Sağlayıcı\n\n autonumber\n U ->> IdP: Kimlik doğrulama talebi (kimlik bilgileri ile)\n activate IdP\n IdP-->>IdP: Kimlik bilgilerini doğrula &
ham erişim belirteci yükü oluştur\n rect rgb(191, 223, 255)\n note over IdP: Özel JWT\n IdP->>IdP: Özel JWT iddia betiğini çalıştır (`getCustomJwtClaims`) &
ekstra JWT iddialarını al\n end\n IdP-->>IdP: Ham erişim belirteci yükünü ve ekstra JWT iddialarını birleştir\n IdP-->>IdP: JWT erişim belirteci elde etmek için yükü imzala & şifrele\n deactivate IdP\n IdP-->>U: JWT formatında erişim belirteci oluştur\n par API aracılığıyla hizmet al\n U->>SP: hizmet talebi (JWT erişim belirteci ile)\n SP-->>U: hizmet yanıtı\n end\n" }) }), "\n", _jsx(Note, { children: _jsxs(_components.p, { children: ["Güvenlik nedenleriyle, Logto'nun ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " fonksiyonunun döndürdüğü JWT iddiaları\nerişim belirteci yükünde zaten mevcutsa, bu iddialar GEÇERLİ OLMAYACAKTIR ve mevcut iddiaların üzerine\nYAZILABİLMEYECEKTİR."] }) }), "\n", _jsxs(_components.h2, { id: "özel-jwt-iddiaları-ile-yetkilendirmeyi-artırın-pratik-bir-örnek", children: ["Özel JWT iddiaları ile yetkilendirmeyi artırın: pratik bir örnek", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#özel-jwt-iddiaları-ile-yetkilendirmeyi-artırın-pratik-bir-örnek", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Önceki bölümde, Logto özel JWT'sinin çalışma prensibini tanıttık. Bu bölümde, Logto özel JWT iddialarını kullanarak yetkilendirme esnekliğini ve hizmet sağlayıcının performansını gerçek dünya örneği aracılığıyla nasıl artırabileceğinizi göstereceğiz." }), "\n", _jsxs(_components.h3, { id: "senaryo-kurulumu", children: ["Senaryo kurulumu", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#senaryo-kurulumu", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "John'un ekibi, kullanıcıların AI robotlarıyla çeşitli hizmetler almak için konuşmasına olanak tanıyan bir AI Yardımcı Uygulaması geliştirdi." }), "\n", _jsx(_components.p, { children: "AI robot hizmetleri ücretsiz ve ücretli hizmetler olarak ayrılır. Ücretsiz hizmetler arasında özel uçak bileti teklifleri yer alırken, ücretli hizmetler arasında borsa tahminleri bulunur." }), "\n", _jsx(_components.p, { children: "AI Yardımcı Uygulaması, tüm kullanıcıları yönetmek için Logto kullanır ve bu kullanıcılar ücretsiz kullanıcılar, ön-ödemeli kullanıcılar ve premium kullanıcılar olarak üç tipe ayrılır. Ücretsiz kullanıcılar yalnızca ücretsiz hizmetleri kullanabilir, ön-ödemeli kullanıcılar tüm hizmetleri kullanabilir (kullanım başına ücretlendirilir), ve premium kullanıcılar tüm hizmetleri kullanabilir ancak kötü amaçlı kullanımı önlemek için hız sınırları vardır." }), "\n", _jsx(_components.p, { children: "Ayrıca, AI Yardımcı Uygulaması, kullanıcı ödemelerini yönetmek için Stripe kullanır ve kullanıcı işlem günlüklerini kaydetmek için kendi günlük hizmetine sahiptir." }), "\n", _jsxs(_components.h3, { id: "logto-yapılandırmaları", children: ["Logto yapılandırmaları", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#logto-yapılandırmaları", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["İlk olarak, AI Yardımcı Uygulama hizmeti için API kaynakları oluşturuyoruz ve iki kapsam oluşturuyoruz: ", _jsx(_components.code, { children: "recommend:flight" }), " ve ", _jsx(_components.code, { children: "predict:stock" }), "."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "AI yardımcı uygulama kaynağı", src: "https://uploads.strapi.logto.io/1/ai_assistant_app_resource_e3c2ee0f03.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Daha sonra iki ", _jsx(_components.code, { children: "rol" }), ", ", _jsx(_components.code, { children: "free-user" }), " ve ", _jsx(_components.code, { children: "paid-user" }), " oluşturuyoruz ve ilgili kapsamları atıyoruz:"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "recommend:flight" }), " kapsamını ", _jsx(_components.code, { children: "free-user" }), " rolüne atayın."] }), "\n", _jsxs(_components.li, { children: ["Hem ", _jsx(_components.code, { children: "recommend:flight" }), " hem de ", _jsx(_components.code, { children: "predict:stock" }), " kapsamlarını ", _jsx(_components.code, { children: "paid-user" }), " rolüne atayın."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "ücretsiz kullanıcı rolü", src: "https://uploads.strapi.logto.io/1/free_user_role_153a0277ba.webp", width: "800" }) }), "\n", _jsx("center", { children: _jsx("img", { alt: "ücretli kullanıcı rolü", src: "https://uploads.strapi.logto.io/1/paid_user_role_d2fa9f5db6.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Son olarak, ", _jsx(_components.code, { children: "free-user" }), ", ", _jsx(_components.code, { children: "prepaid-user" }), " ve ", _jsx(_components.code, { children: "premium-user" }), " olmak üzere üç kullanıcı oluşturuyoruz ve ilgili rolleri atıyoruz:"] }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "free-user" }), " rolünü ", _jsx(_components.code, { children: "free-user" }), " kullanıcısına atayın."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.code, { children: "paid-user" }), " rolünü ", _jsx(_components.code, { children: "prepaid-user" }), " ve ", _jsx(_components.code, { children: "premium-user" }), " kullanıcılarına atayın."] }), "\n"] }), "\n", _jsx("center", { children: _jsx("img", { alt: "ücretsiz kullanıcı rolü atama", src: "https://uploads.strapi.logto.io/1/assign_free_user_role_f7d37cb5c9.webp", width: "800" }) }), "\n", _jsx("center", { children: _jsx("img", { alt: "ücretli kullanıcı rolü atama", src: "https://uploads.strapi.logto.io/1/assign_paid_user_role_2dbfd74d6e.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: ["Aşağıdaki şekilde gösterildiği gibi, yukarıda belirtilen senaryo için gerekli olan yetkilendirme bilgilerini uygulamak amacıyla, geçerli oturum açmış kullanıcının JWT'de ", _jsx(_components.code, { children: "roles" }), ", ", _jsx(_components.code, { children: "balance" }), " ve ", _jsx(_components.code, { children: "numOfCallsToday" }), " bilgilerini içermesini istiyoruz. AI Yardımcı Uygulamasında erişim belirtecini doğrularken, bu bilgiler hızlıca yetkilendirme doğrulaması yapmak için kullanılabilir."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "özel JWT iddialarını test etme", src: "https://uploads.strapi.logto.io/1/test_custom_jwt_claims_3fcd4c2004.webp", width: "800" }) }), "\n", _jsxs(_components.p, { children: [_jsx(_components.code, { children: "envVariables" }), "'i yapılandırdıktan sonra, ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " fonksiyonunu uygular ve \"Testi Çalıştır\" düğmesine tıklayarak mevcut test verilerine dayalı olarak ek JWT iddialarının sonucunu görebilirsiniz."] }), "\n", _jsxs(_components.p, { children: [_jsx(_components.code, { children: "data.user.roles" }), " için test verilerini yapılandırmadığımız için, sonuçta gösterilen ", _jsx(_components.code, { children: "roles" }), " boş bir dizidir."] }), "\n", _jsxs(_components.h3, { id: "özel-jwt-özelliğinin-devreye-girip-girmediğini-kontrol-edin", children: ["Özel JWT özelliğinin devreye girip girmediğini kontrol edin", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#özel-jwt-özelliğinin-devreye-girip-girmediğini-kontrol-edin", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: ["Yukarıdaki Logto yapılandırmasına göre, testte karşılık gelen sonuçları aldık. Sıradaki adımda, Logto'nun sağladığı örnek uygulamayı kullanarak özel JWT'mizin etkili olup olmadığını doğrulayacağız. ", _jsx(_components.a, { href: "https://docs.logto.io/sdk/", children: "Logto SDK'larında" }), " aşina olduğunuz SDK'yı bulun ve dokümantasyon ile ilgili GitHub deposuna göre bir örnek uygulama dağıtın."] }), "\n", _jsxs(_components.p, { children: ["Yukarıda açıkladığımız yapılandırmaya dayanarak, ", _jsx(_components.a, { href: "https://docs.logto.io/sdk/react/", children: "React SDK'sını" }), " bir örnek olarak ele aldığımızda, LogtoConfig içindeki ilgili yapılandırmayı aşağıdaki gibi güncellememiz gerekir:"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "import { LogtoProvider, LogtoConfig, UserScope } from '@logto/react';\n\nconst config: LogtoConfig = {\n appId,\n endpoint,\n scopes: [\n UserScope.Email,\n UserScope.Phone,\n UserScope.CustomData,\n UserScope.Identities,\n UserScope.Organizations,\n \"recommend:flight\",\n \"predict:stock\",\n ],\n resources: [\"https://api.aiassistant.app/v1\"]\n};\n\nconst App = () => (\n \n \n \n);\n" }) }), "\n", _jsxs(_components.p, { children: ["AI Yardımcı Uygulamasını simüle eden örnek uygulamaya ", _jsx(_components.code, { children: "free_user" }), " kullanıcısını giriş yaptıktan sonra, JWT erişim belirtecinin yük kısmını inceleyerek eklediğimiz ", _jsx(_components.code, { children: "roles" }), ", ", _jsx(_components.code, { children: "balance" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " ve ", _jsx(_components.code, { children: "isPremiumUser" }), " bilgilerinin görüntülenebileceğini görebilirsiniz."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "örnek uygulama erişim belirteci önizleme-free", src: "https://uploads.strapi.logto.io/1/sample_app_access_token_preview_free_117a8594c8.webp", width: "400" }) }), "\n", _jsxs(_components.p, { children: [_jsx(_components.code, { children: "balance" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " ve ", _jsx(_components.code, { children: "isPremiumUser" }), " değerleri önceki teste uygundur ve ", _jsx(_components.code, { children: "roles" }), " ", _jsx(_components.code, { children: "[\"free-user\"]" }), "'a eşittir. Bunun nedeni, gerçek son kullanıcı oturum açma sürecinde, kullanıcının kullanılabilir tüm verilerini elde edip bunları uygun şekilde işlememizdir."] }), "\n", _jsx("center", { children: _jsx("img", { alt: "örnek uygulama erişim belirteci önizleme-premium", src: "https://uploads.strapi.logto.io/1/sample_app_access_token_preview_premium_673f6f3db1.webp", width: "400" }) }), "\n", _jsxs(_components.p, { children: ["Premium kullanıcılar için, ", _jsx(_components.code, { children: "roles" }), "'ın ", _jsx(_components.code, { children: "[\"paid-user\"]" }), " olduğunu ve hem ", _jsx(_components.code, { children: "isPaidUser" }), " hem de ", _jsx(_components.code, { children: "isPremiumUser" }), "'ın ", _jsx(_components.code, { children: "true" }), " olduğunu görebiliyoruz."] }), "\n", _jsxs(_components.h3, { id: "hizmet-sağlayıcının-yetkilendirme-mantığını-güncelleyin", children: ["Hizmet sağlayıcının yetkilendirme mantığını güncelleyin", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#hizmet-sağlayıcının-yetkilendirme-mantığını-güncelleyin", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Önceki adımlarda, iş ihtiyaçlarına dayalı olarak kullanıcı erişim belirtecine özel iddialar ekledik. Sıradaki adımımız, bu iddiaları kullanarak hızlı bir şekilde yetkilendirme doğrulaması yapmaktır." }), "\n", _jsxs(Note, { children: [_jsx(_components.p, { children: "Önemli bir not olarak, yetkilendirme doğrulaması için tamamen özel iddialara güvenmenizi önermeyiz." }), _jsx(_components.p, { children: "RBAC'nin uygulanması en az yetki ilkesini takip ettiğinden, güvenliği sağlamak için özel iddialar kullanarak yapılan doğrulamanın, RBAC'ye dayalı ek yardımcı bir doğrulama olması gerekmektedir. Bu; ek özel iddiaların getirilmesiyle kullanıcı yetki kapsamının genişletilmesinin önüne geçmek içindir." })] }), "\n", _jsxs(_components.p, { children: ["Burada Logto'nun API tarafında JWT erişim belirteçlerini doğrulama mantığını sağlıyoruz. Tam kod uygulaması ", _jsx(_components.a, { href: "https://github.com/logto-io/logto/blob/master/packages/core/src/middleware/koa-auth/index.ts", children: "GitHub deposunda" }), " bulunabilir:"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "import type { IncomingHttpHeaders } from 'node:http';\n\nimport { createLocalJWKSet, jwtVerify, type JWK } from 'jose';\n\nconst extractBearerTokenFromHeaders = (\n { authorization }: IncomingHttpHeaders\n) => {\n const bearerTokenIdentifier = 'Bearer';\n\n assertThat(\n authorization,\n new RequestError({\n code: 'auth.authorization_header_missing',\n status: 401\n })\n );\n assertThat(\n authorization.startsWith(bearerTokenIdentifier),\n new RequestError(\n { code: 'auth.authorization_token_type_not_supported', status: 401 },\n { supportedTypes: [bearerTokenIdentifier] }\n )\n );\n\n return authorization.slice(bearerTokenIdentifier.length + 1);\n};\n\nconst verifyBearerTokenFromRequest = async (\n publicJwks: JWT;\n issuer: string,\n request: Request,\n audience: Optional\n): Promise => {\n try {\n // Kamuya açık JWK'leri ve düzenleyiciyi alın.\n const [keys, issuer] = await getKeysAndIssuer();\n const { payload } = await jwtVerify(\n extractBearerTokenFromHeaders(request.headers),\n createLocalJWKSet({ keys }),\n {\n issuer,\n audience,\n }\n );\n\n const { sub, client_id: clientId, scope = '' } = payload;\n assertThat(sub,\n new RequestError({ code: 'auth.jwt_sub_missing', status: 401 }));\n\n return { sub, clientId, scopes: z.string().parse(scope).split(' ') };\n } catch (error: unknown) {\n if (error instanceof RequestError) {\n throw error;\n }\n\n throw new RequestError(\n { code: 'auth.unauthorized', status: 401 },\n error\n );\n }\n};\n" }) }), "\n", _jsxs(_components.p, { children: ["Logto API'de erişim belirteçlerini doğrulama mantığını referans alabilir ve bunu kendi iş mantığınıza göre özelleştirebilirsiniz. Örneğin, burada açıklanan AI Yardımcı Uygulama senaryosu için ", _jsx(_components.code, { children: "verifyBearerTokenFromRequest" }), " fonksiyonuna ", _jsx(_components.code, { children: "roles" }), ", ", _jsx(_components.code, { children: "balance" }), ", ", _jsx(_components.code, { children: "numOfCallsToday" }), ", ", _jsx(_components.code, { children: "isPaidUser" }), " ve ", _jsx(_components.code, { children: "isPremiumUser" }), " gibi özel iddiaların doğrulama mantığını ekleyebilirsiniz."] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-ts", children: "const verifyBearerTokenFromRequest = async (\n publicJwks: JWT;\n issuer: string,\n request: Request,\n audience: Optional\n): Promise => {\n try {\n // Kamuya açık JWK'leri ve düzenleyiciyi alın.\n const [keys, issuer] = await getKeysAndIssuer();\n const { payload } = await jwtVerify(\n extractBearerTokenFromHeaders(request.headers),\n createLocalJWKSet({ keys }),\n {\n issuer,\n audience,\n }\n );\n\n const {\n sub,\n client_id: clientId,\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser,\n scope = ''\n } = payload;\n assertThat(sub,\n new RequestError({ code: 'auth.jwt_sub_missing', status: 401 }));\n\n return {\n sub,\n clientId,\n scopes: z.string().parse(scope).split(' '),\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser\n };\n } catch (error: unknown) {\n if (error instanceof RequestError) {\n throw error;\n }\n\n throw new RequestError({ code: 'auth.unauthorized', status: 401 }, error);\n }\n};\n\nconst authorizeBearerTokenPayload = (\n payload: Payload,\n requiredScopes: string[],\n requiredRoles: string[]\n): void => {\n const {\n scope,\n roles,\n balance,\n numOfCallsToday,\n isPaidUser,\n isPremiumUser\n } = payload;\n const scopes: string[] = scope.split(' ');\n\n // RBAC doğrulaması.\n /**\n * `free-user` `predict:stock` kapsamına sahip değildir, bu nedenle API\n * `predict:stock` kapsamını gerektiriyorsa, istek doğrudan reddedilir.\n */\n assertThat(\n requiredScopes.every((scope) => payload.scopes.includes(scope)),\n new RequestError(\n { code: 'auth.insufficient_scope', status: 403 },\n { requiredScopes })\n );\n\n /** `payload`'da yer alan ek iddialar için doğrulama */\n assertThat(\n roles.includes('paid-user') && isPaidUser,\n new RequestError({ code: 'auth.role_mismatch', status: 403 }));\n // Günlük çağrı limiti 100'dür varsayalım.\n assertThat(\n numOfCallsToday < 100,\n new RequestError({ code: 'auth.rate_limit_exceeded', status: 403 }));\n // Premium kullanıcıların `balance`'ını kontrol etmeye gerek yok.\n if (isPremiumUser) {\n return;\n }\n // Sadece bakiye pozitif olduğunda hizmete erişebilir.\n assertThat(\n balance > 0,\n new RequestError({ code: 'auth.balance_insufficient', status: 403 }));\n /** `payload`'da yer alan ek iddialar için doğrulama */\n};\n" }) }), "\n", _jsx(_components.p, { children: "Yukarıdaki örnek, son kullanıcının oturum açmasını ve JWT erişim belirteci almasını etkileyen senaryolar içindir. Kullanım durumunuz makineden makineye (M2M) ise, M2M uygulamaları için özel JWT iddialarını ayrı ayrı yapılandırabilirsiniz." }), "\n", _jsx(_components.p, { children: "Kullanıcılar için özel JWT yapılandırmak, M2M uygulamalarının erişim belirteçlerini elde etme sonucunu etkilemez ve bunun tersi de geçerlidir." }), "\n", _jsxs(_components.p, { children: ["M2M bağlantılarının genelliği nedeniyle, Logto şimdilik M2M uygulamalarının ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " yöntemini Logto'dan gelen dahili verileri kabul edebilmesi işlevini sunmamaktadır. Diğer yönlerden, M2M uygulamaları için özel JWT yapılandırma yöntemi, kullanıcı uygulamalarına benzerdir. Bu makalede detaylandırılmayacaktır. Logto'nun özel JWT işlevini kullanarak başlayabilirsiniz."] }), "\n", _jsxs(_components.h3, { id: "neden-özel-jwt-iddiaları-kullanmalısınız", children: ["Neden özel JWT iddiaları kullanmalısınız?", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#neden-özel-jwt-iddiaları-kullanmalısınız", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "John için AI Yardımcı Uygulama senaryosunu ve Logto'nun Özel JWT özelliğini kullanarak daha esnek yetkilendirme doğrulaması yapmayı sağlama yolunu sunduk. Bu süreçte, Özel JWT özelliğinin avantajlarını görebilirsiniz:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: ["Özel JWT özelliği olmadan, kullanıcılar her yetkiyi kontrol ederken bir dış API'ye (örn. ", _jsx(_components.code, { children: "getCustomJwtClaims" }), "'te yaptığınız gibi) talepte bulunmaları gerekir. Bu API'yi sağlayan hizmet sağlayıcı için, bu ek bir yük getirebilir. Özel JWT özelliği ile bu bilgiler doğrudan JWT'ye koyulabilir, böylece dış API'ye yapılan sık çağrılar azaltılabilir."] }), "\n", _jsx(_components.li, { children: "Hizmet sağlayıcılar için, Özel JWT özelliği, kullanıcı yetkilerinin daha hızlı doğrulanmasını sağlar, özellikle istemci hizmet sağlayıcıya sıkça arama yaptığında, hizmet performansını artırır." }), "\n", _jsx(_components.li, { children: "Özel JWT özelliği, işletmenin gerektirdiği ek yetkilendirme bilgilerini hızlıca uygulamanızı sağlar ve JWT kendi kendine yeterli olduğundan ve şifrelenebileceği için bilgilerin istemci ve hizmet sağlayıcı arasında güvenli bir şekilde iletilmesini sağlar, dolayısıyla sahtekarlık yapması zorlaşır." }), "\n"] }), "\n", _jsx(Info, { children: _jsx(_components.p, { children: "Önemli bir not olarak, önceki bir blog yazısında belirttiğimiz gibi, bir JWT erişim belirteci\noluşturulduğunda, geçerlilik süresi boyunca değişmeyecektir. Bu nedenle, özel JWT iddialarında\nyer alan bilgilerin iş ihtiyaçları ile birleşmesi ve erişim belirteci geçerlilik süresi boyunca\nönemli ölçüde değişen bilgileri içermekten kaçınılması önemlidir." }) }), "\n", _jsxs(_components.p, { children: ["Aynı zamanda, ", _jsx(_components.code, { children: "getCustomJwtClaims" }), ", bir kullanıcıya Logto'nun erişim belirteci oluşturması gerektiğinde her seferinde çalıştırıldığından aşırı karmaşık mantık çalıştırmaktan ve yüksek bant genişliği gereksinimleri ile dış API isteklerinden kaçınılması gerekmektedir. Aksi takdirde, son kullanıcıların oturum açma sürecinde ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " sonucunu beklemeleri çok uzun sürebilir. ", _jsx(_components.code, { children: "getCustomJwtClaims" }), " boş bir nesne döndürüyorsa, bu yapılandırma öğesini gerçekten kullanmanız gerekene kadar geçici olarak silmenizi şiddetle öneririz."] }), "\n", _jsxs(_components.h2, { id: "sonuç", children: ["Sonuç", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#sonuç", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Bu makalede, Logto, temel JWT erişim belirtecini genişletti ve kullanıcıların işletme gereksinimlerine göre JWT erişim belirtecine ek son kullanıcı bilgileri koymalarına olanak tanıyan ekstra JWT iddiaları işlevini genişletti, böylece kullanıcı oturum açtıktan sonra kullanıcı yetkileri hızla doğrulanabilir." }), "\n", _jsx(_components.p, { children: "John'un AI Yardımcı Uygulama senaryosunu sunduk ve Logto'nun Özel JWT özelliğini kullanarak daha esnek yetkilendirme doğrulaması yapmayı sağlama yolunu gösterdik. Ayrıca, özel JWT kullanmanın bazı önemli noktalarını belirttik. Gerçek işletme senaryolarıyla birleştiğinde, kullanıcılar işletme ihtiyaçlarına göre çeşitli kullanıcıyla ilgili bilgileri JWT erişim belirtecine koyabilir, böylece hizmet sağlayıcı kullanıcı yetkilerini hızla doğrulayabilir." }), "\n", _jsx(LogtoCloudButton, {})] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }