在我当前的项目中,我们使用Auth0作为身份提供者。当前的架构只是一个受几个API支持的ReactJS应用程序。每个API都需要不同的授权范围组合,但是基本上它们将需要客户角色,提供者角色或任何经过身份验证的用户。 到目前为止,我们一直在使用username-Password-Authentication,现在我们正在集成社交登录名(例如Facebook,Google和Apple)。
为了实现这一点,我们使用授权码流程,因此BE构造了FE随后使用的Authorize URL(包括Callback URL,范围等)。在用户通过社交服务提供商进行身份验证之后,将调用回调URL,然后我们将代码交换为一个access_token,最终将其返回给FE。到目前为止一切顺利。
https://{domain}.auth0.com/authorize?
response_type=code&
client_id={clientId}&
audience={audience}&
connection=facebook&
state={ramdom_value}&
redirect_uri={callbackUrl}&
scope=offline_access openid scope:customer
这是出现一些问题的地方。
首先,在将身份验证代码交换为access_token之后,令牌中不包含范围,因此用户无法访问API。我必须创建一个添加客户角色的自定义规则,如下所示:
function (user,context,callback) {
var count = context.stats && context.stats.loginsCount ? context.stats.loginsCount : 0;
if (count > 1 || (context.connection !== 'facebook' && context.connection !== 'google-oauth2' && context.connection !== 'apple')) {
return callback(null,user,context);
}
var ManagementClient = require('auth0@2.17.0').ManagementClient;
var management = new ManagementClient({
token: auth0.accessToken,domain: auth0.domain
});
management.assignRolestoUser(
{ id : user.user_id},{ "roles" :["rol_Msm9ykmstuK09r9s"]},function (err) {
if (err) {
callback(err);
} else {
callback(null,context);
}
}
);
}
我不太了解为什么我需要创建规则才能获得有效的access_token。
第二,用户有两个可能的角色:客户和提供者。目前,我们仅允许客户使用社交登录,但最终我们还需要支持提供商。我们无法检测到该规则中实际登录的用户类型。 所以我的问题是如何解决。
我的最终目标是允许用户(客户和提供者)使用“社交连接”登录,并使每个用户具有他们真正需要的角色。当然,我需要获得一个有效的access_token,以便用户可以随后与我们的API进行交互。
有什么想法或评论吗?我想念什么?