面向未来的身份验证：从规则和挂钩转向行动

Auth0 是一个身份和访问管理 (IAM) 平台，可简化应用程序中身份验证和授权的管理。我们开发人员依靠 Auth0 规则和 Hooks 来自定义身份验证过程。然而，随着 Auth0 Actions 的引入，现在有一个更灵活、可维护和现代的解决方案来实现自定义身份验证逻辑。

为什么要迁移？
随着我们的应用程序的增长，管理规则和挂钩变得困难。
规则和挂钩都是按顺序运行的，如果其中一个影响另一个，则可能会导致意外结果，从而使故障排除变得困难。此外，Hooks 需要单独管理，这增加了复杂性。

相比之下，虽然操作也按顺序运行，但它们被设计得更加模块化，使我们能够创建更小的、可重用的逻辑片段。这种模块化使得测试和修复各个操作变得更加容易，而无需担心它们如何相互交互。 Actions 还提供了更好的调试工具和版本控制，简化了我们身份验证过程的整体管理。

规则和 Hook 的限制：

Auth0 中的规则是作为身份验证管道的一部分执行的 JavaScript 函数。虽然功能强大，但它们也有局限性：

• 它们按顺序运行，这意味着管理多个规则变得很棘手。
• 调试和测试可能具有挑战性。
• 没有模块化，因此经常需要重复相同的逻辑。

Hook 也有缺点：

• 它们是事件驱动的，但仅限于某些场景，例如用户后注册。
• 它们需要在常规身份验证管道之外进行单独管理。
• 调试钩子并不那么简单。

行动的优点：
行动解决了许多这样的问题：

• 它们允许更好的模块化。您可以在不同的应用程序中重复使用它们。
• 您可以访问版本控制，这可以帮助您管理和回滚更改。
• 测试和调试体验得到极大改善，拥有更好的日志和实时测试工具。
• 操作可以与各种触发器相关联（登录后、用户前注册 等）并且可以通过统一的界面进行管理。

准备迁移

记录现有规则和挂钩：
在开始迁移之前，我们确保彻底记录和识别所有现有规则和挂钩的用例。这帮助我们更轻松地将功能映射到操作。

了解 Auth0 操作：
操作是事件驱动的功能，在身份验证管道中的特定点（例如登录后或预注册）触发。它们是用 Node.js 编写的，允许您以更加模块化和可重用的方式定义逻辑。

关键组件包括：
触发器：指定何时执行操作（例如，登录后、注册期间）。
事件处理程序：从触发操作的事件中捕获详细信息（例如，用户信息）。
秘密：存储 API 密钥等敏感数据。
版本控制：管理操作的不同版本，以便更轻松地更新和回滚。

迁移示例：
让我们采用一个在登录时添加用户角色的简单规则：

function (user, context, callback) {
  // Check the user's email domain
  if (user.email && user.email.endsWith('@example.com')) {
    // Assign a role for users with the specified domain
    user.app_metadata = user.app_metadata || {};
    user.app_metadata.roles = ['employee'];

    // Update the user in the Auth0 database
    auth0.users.updateAppMetadata(user.user_id, user.app_metadata)
      .then(function() {
        callback(null, user, context);
      })
      .catch(function(err) {
        callback(err);
      });
  } else {
    // Assign a default role for other users
    user.app_metadata = user.app_metadata || {};
    user.app_metadata.roles = ['guest'];

    callback(null, user, context);
  }
}

说明：
目的：此规则检查用户的电子邮件是否以@example.com 结尾。如果是，则为该用户分配“员工”角色。否则，他们将被分配“访客”的角色。
更新用户元数据：规则使用 auth0.users.updateAppMetadata 将分配的角色保存在用户的应用元数据中。
回调：规则调用callback(null, user, context)来继续认证流程，如果发生错误则调用callback(err)。

将其迁移到操作如下所示：

exports.onExecutePostLogin = async (event, api) => {
  // Check the user's email domain
  if (event.user.email && event.user.email.endsWith('@example.com')) {
    // Assign a role for users with the specified domain
    api.user.setAppMetadata('roles', ['employee']);
  } else {
    // Assign a default role for other users
    api.user.setAppMetadata('roles', ['guest']);
  }
};

事件和API：Action使用事件获取用户信息，使用api修改用户元数据，而Rule直接操作用户对象并使用回调。
异步性质：操作旨在更干净地处理异步操作，从而实现更简单的实现。

迁移规则的最佳实践：
保持较小的操作：将复杂的逻辑分解为更小、更易于管理的部分。
跨应用程序重用：以可在多个应用程序中使用的方式编写操作，以避免重复代码。

现在让我们用一个简单的钩子来添加角色：

挂钩是由特定事件触发的服务器端扩展，例如用户注册后。它们允许您将自定义逻辑集成到用户生命周期中。

示例 Hook:

module.exports = function (client, scope, audience, context, cb) {

    let access_token = {
        scope: scope
    };

    if (client.name === 'MyApp') {
        access_token["https://app/persona"] = "user";

        if (context.body.customer_id || context.body.upin) {
            return cb(new InvalidRequestError('Not a valid request.'));
        }
    }
}

在一个动作中，它变成：

exports.onExecuteCredentialsExchange = async (event, api) => {
    let requestBody = event.request.body;
    if (event.client.name === 'MyApp') {
        api.accessToken.setCustomClaim(`https://app/persona`, "user");
        if (!requestBody.customer_id || !requestBody.upin) {
            api.access.deny(`Not a valid request for client-credential Action`);
            return
        }
    }

实施差异：

• 操作为处理异步代码和错误处理提供了更好的工具。
• 迁移过程通过集成日志跟踪简化了调试 ng.

测试和调试：
Auth0 的操作界面使测试变得容易，具有实时日志和模拟事件的能力。我们广泛使用实时网络任务日志记录功能来确保操作按预期进行。

迁移后体验的好处：
性能改进：
我们观察到，动作运行得更快并且更可预测，因为规则的顺序执行通常会导致性能瓶颈。

简化的工作流程：
通过操作，管理自定义逻辑变得更加容易。我们现在拥有可在不同应用程序之间重用的模块化操作，从而减少代码重复。

可重用性和模块化：
操作提高了我们跨多个租户重用逻辑的能力。以前，我们必须为不同的应用程序重复规则，但现在，一个操作可以实现多种目的。

要避免的常见陷阱：
执行顺序误解：
如果您正在运行多个操作，请确保了解它们的执行顺序。错误的执行顺序可能会导致分配不正确的用户角色等问题。

触发器配置错误：
仔细检查是否为您的操作分配了正确的触发器。
例如，将登录后操作附加到用户前注册事件将不起作用。

生产测试：
始终首先在临时环境中进行测试。切勿将未经测试的操作直接部署到生产中。

总之，迁移到 Auth0 Actions 对我们来说改变了游戏规则。随着 Auth0 于 2024 年 11 月 18 日弃用规则和挂钩，这一转变简化了我们的工作流程，提高了性能，并使管理身份验证逻辑变得更加容易。如果您仍然依赖规则和挂钩，那么现在是探索操作的最佳时机 - 您不会后悔的！

以上是面向未来的身份验证：从规则和挂钩转向行动的详细内容。更多信息请关注PHP中文网其他相关文章！