如何解决Auth0-如何在自定义API或后端上信任和保存用户信息?
我正在尝试找出如何在我的API服务器上“信任”用户信息(例如名称,电子邮件和sub
声明之类的信息)以用于本机应用程序。我在这里遵循了auth0的官方React Native快速入门指南:
https://auth0.com/docs/quickstart/native/react-native/
并且我已经在网络上看到了这4或5种方式的迭代。是的,这太好了,我们有一个前端身份验证方法-在前端,我们得到一个id_token
和access_token
返回给我们。 access_token
很好,我完全理解这一点,即我将其保存到设备的本地存储中,将其添加到Authorization
标头中,并使用jwt中间件来保护路由(也由auth0提供)自定义API页面):
var express = require('express');
var app = express();
var jwt = require('express-jwt');
var jwks = require('jwks-rsa');
var port = process.env.PORT || 8080;
var jwtCheck = jwt({
secret: jwks.expressJwtSecret({
cache: true,rateLimit: true,jwksRequestsPerMinute: 5,jwksUri: 'https://<myauth0domain>/.well-known/jwks.json'
}),audience: '<myapiendpoing>',issuer: '<myauth0domain>',algorithms: ['RS256']
});
app.use(jwtCheck);
app.get('/authorized',function (req,res) {
res.send('Secured Resource');
});
app.listen(port);
现在终于到了我被困的地方:关于id_token
,我如何将任何用户ID信息保存到服务器中,并相信它确实是该用户?因为我的应用程序还具有一个用户设置表,用户可以在其中更改个人资料信息,因此可以保存他们的姓名和电子邮件等信息。
当然,我不能仅仅转发id_token
用作“可信”身份服务器端。在auth0服务器,设备以及我的API之间存在连接步骤的那一刻,一个不好的角色可能会欺骗id_token
中的值-毕竟,它只是JSON。
我当前的解决方案是从后端调用auth0的内置/userinfo
端点-您传递了access_token
并获取了用户信息,但这显然不是很有效。为了避免出现性能问题,我只需设置帐户信息一次,然后使用sub
中的access_token
声明(即用户ID)来确定以后的用户身份用户设置相关的端点。 sub
声明在通过JWT中间件后 可以信任,对吗?
我能想到的唯一的其他解决方案是将react app上的授权回调URI更改为API上的端点,而不是更改为引回到react native应用的URI,但是我认为这意味着实现整个用户会话和通行证中的护照故事。如果我想对API执行任何基于用户的操作,也许我还是必须这样做吗?
他们说OAuth使事情变得容易得多,但是在这一点上,我真的很困惑于信任用户是否真的是他们所说的服务器端用户。实际上,在UI端使用id_token
甚至有什么意义?据我了解,id_token
中的值仅出于纯粹的显示目的而可以被“信任”。您永远不能将它们用作服务器请求中的识别键。
解决方法
答案是使用Proof Key for Code Exchange (PKCE)流。在此流程中,您将生成一个代码验证程序和质询程序,并接收可以用于获取auth令牌,刷新令牌和id令牌的一次性使用代码。该请求可以在客户端完成。
使用此一次性使用代码,我们可以从我们自己的服务器中发出第二个请求,即实际令牌的请求。由于此请求是从您受信任的服务器发出的(不是在客户端上发出的,因此Auth0也不会让您在客户端上发出请求!),我们可以相信返回的id令牌的内容未被篡改。 (即,这是从您的API服务器到Auth0的机器到机器的连接)
这也是查看用户是否已经存在的绝佳时机(如果尚未使用ID令牌的内容生成服务器端帐户或用户信息)。在理想的情况下,用户只需要进行一次身份验证(因此只需单击一次此端点),然后我们就可以使用我们用他们的帐户安全保存的刷新令牌不断地更新授权令牌,从而在任何时候都可以。
唯一的例外是刷新令牌本身是否过期,我们要求它们再次进行身份验证。
编辑:
出于非常的好奇,我在使用React Native Expo项目专门实现PKCE时遇到了一个附加的问题,尽管这个问题并不密切。可以通过here和here查看该问题的解决方案。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。