Auth0 是一個身分識別和存取管理 (IAM) 平台,可簡化應用程式中身分驗證和授權的管理。我們開發人員依靠 Auth0 規則和 Hooks 來自訂身份驗證流程。然而,隨著 Auth0 Actions 的引入,現在有一個更靈活、可維護和現代的解決方案來實現自訂身份驗證邏輯。
為什麼要遷移?
隨著我們的應用程式的成長,管理規則和掛鉤變得困難。
規則和掛鉤都是按順序運行的,如果其中一個影響另一個,則可能會導致意外結果,從而使故障排除變得困難。此外,Hooks 需要單獨管理,這增加了複雜性。
相較之下,雖然操作也按順序運行,但它們被設計得更模組化,使我們能夠創建更小的、可重用的邏輯片段。這種模組化使得測試和修復各個操作變得更加容易,而無需擔心它們如何相互互動。 Actions 也提供了更好的偵錯工具和版本控制,簡化了我們身分驗證流程的整體管理。
規則和 Hook 的限制:
Auth0 中的規則是作為身分驗證管道的一部分執行的 JavaScript 函數。雖然功能強大,但它們也有限制:
- 它們按順序運行,這意味著管理多個規則變得很棘手。
- 除錯和測試可能具有挑戰性。
- 沒有模組化,因此經常需要重複相同的邏輯。
Hook 也有缺點:
- 它們是事件驅動的,但僅限於某些場景,例如使用者後註冊。
- 它們需要在常規身份驗證管道之外進行單獨管理。
- 調試鉤子沒那麼簡單。
行動的優點:
行動解決了許多這樣的問題:
- 它們允許更好的模組化。您可以在不同的應用程式中重複使用它們。
- 您可以存取版本控制,這可以幫助您管理和回滾變更。
- 測試和除錯體驗大大改善,擁有更好的日誌和即時測試工具。
- 操作可以與各種觸發器相關聯(登入後、使用者前註冊
等)並且可以透過統一的介面進行管理。
準備遷移
記錄現有規則和掛鉤:
在開始遷移之前,我們確保徹底記錄和識別所有現有規則和掛鉤的用例。這幫助我們更輕鬆地將功能映射到操作。
了解 Auth0 操作:
操作是事件驅動的功能,在身份驗證管道中的特定點(例如登入後或預註冊)觸發。它們是用 Node.js 編寫的,可讓您以更模組化和可重複使用的方式定義邏輯。
關鍵組件包括:
觸發器:指定何時執行操作(例如,登入後、註冊期間)。
事件處理程序:從觸發操作的事件中擷取詳細資訊(例如,使用者資訊)。
秘密:儲存 API 金鑰等敏感資料。
版本控制:管理操作的不同版本,以便更輕鬆地更新和回滾。
遷移範例:
讓我們採用一個在登入時新增使用者角色的簡單規則:
function (user, context, callback) {
// Check the user's email domain
if (user.email && user.email.endsWith('@example.com')) {
// Assign a role for users with the specified domain
user.app_metadata = user.app_metadata || {};
user.app_metadata.roles = ['employee'];
// Update the user in the Auth0 database
auth0.users.updateAppMetadata(user.user_id, user.app_metadata)
.then(function() {
callback(null, user, context);
})
.catch(function(err) {
callback(err);
});
} else {
// Assign a default role for other users
user.app_metadata = user.app_metadata || {};
user.app_metadata.roles = ['guest'];
callback(null, user, context);
}
}
登入後複製
說明:
目的:此規則檢查使用者的電子郵件是否以@example.com 結尾。如果是,則為該使用者指派「員工」角色。否則,他們將被分配到“訪客”的角色。
更新使用者元資料:規則使用 auth0.users.updateAppMetadata 將指派的角色儲存在使用者的應用程式元資料中。
回呼:規則呼叫callback(null, user, context)來繼續認證流程,如果發生錯誤則呼叫callback(err)。
將其移轉到操作如下所示:
exports.onExecutePostLogin = async (event, api) => {
// Check the user's email domain
if (event.user.email && event.user.email.endsWith('@example.com')) {
// Assign a role for users with the specified domain
api.user.setAppMetadata('roles', ['employee']);
} else {
// Assign a default role for other users
api.user.setAppMetadata('roles', ['guest']);
}
};
登入後複製
事件和API:Action使用事件獲取使用者訊息,使用api修改使用者元數據,而Rule直接操作使用者物件並使用回調。
非同步性質:操作旨在更乾淨地處理非同步操作,從而實現更簡單的實作。
遷移規則的最佳實踐:
保持較小的操作:將複雜的邏輯分解為更小、更易於管理的部分。
跨應用程式重複使用:以可在多個應用程式中使用的方式編寫操作,以避免重複程式碼。
現在讓我們用一個簡單的鉤子來加入角色:
掛鉤是由特定事件觸發的伺服器端擴展,例如使用者註冊後。它們允許您將自訂邏輯整合到使用者生命週期中。
範例 Hook:
module.exports = function (client, scope, audience, context, cb) {
let access_token = {
scope: scope
};
if (client.name === 'MyApp') {
access_token["https://app/persona"] = "user";
if (context.body.customer_id || context.body.upin) {
return cb(new InvalidRequestError('Not a valid request.'));
}
}
}
登入後複製
在一個動作中,它變成:
exports.onExecuteCredentialsExchange = async (event, api) => {
let requestBody = event.request.body;
if (event.client.name === 'MyApp') {
api.accessToken.setCustomClaim(`https://app/persona`, "user");
if (!requestBody.customer_id || !requestBody.upin) {
api.access.deny(`Not a valid request for client-credential Action`);
return
}
}
登入後複製
實作差異:
- 操作為處理非同步程式碼和錯誤處理提供了更好的工具。
- 遷移過程透過整合日誌追蹤簡化了調試
ng.
測試與除錯:
Auth0 的操作介面使測試變得容易,具有即時日誌和模擬事件的能力。我們廣泛使用即時網路任務日誌記錄功能來確保操作按預期進行。
遷移後體驗的好處:
效能改善:
我們觀察到,動作運行得更快且更可預測,因為規則的順序執行通常會導致效能瓶頸。
簡化的工作流程:
透過操作,管理自訂邏輯變得更加容易。我們現在擁有可在不同應用程式之間重複使用的模組化操作,從而減少程式碼重複。
可重複使用性與模組化:
操作提高了我們跨多個租戶重複使用邏輯的能力。以前,我們必須為不同的應用程式重複規則,但現在,一個操作可以實現多種目的。
要避免的常見陷阱:
執行順序誤解:
如果您正在執行多個操作,請確保您了解它們的執行順序。錯誤的執行順序可能會導致分配不正確的使用者角色等問題。
觸發器配置錯誤:
仔細檢查是否為您的操作分配了正確的觸發器。
例如,將登入後操作附加到使用者前註冊事件將無法運作。
生產測試:
始終首先在臨時環境中進行測試。切勿將未經測試的操作直接部署到生產中。
總之,遷移到 Auth0 Actions 對我們來說改變了遊戲規則。隨著 Auth0 於 2024 年 11 月 18 日棄用規則和掛鉤,這項轉變簡化了我們的工作流程,提高了效能,並使管理身分驗證邏輯變得更加容易。如果您仍然依賴規則和掛鉤,現在是探索操作的最佳時機 - 您不會後悔的!
以上是面向未來的身份驗證:從規則和掛鉤轉向行動的詳細內容。更多資訊請關注PHP中文網其他相關文章!
