วิธีตรวจสอบโทเค็นการเข้าถึง (Access tokens) ในบริการ API หรือ backend ของคุณ
การตรวจสอบโทเค็นการเข้าถึง (โทเค็นการเข้าถึง (Access tokens)) เป็นส่วนสำคัญของการบังคับใช้ การควบคุมการเข้าถึงตามบทบาท (RBAC) ใน Logto คู่มือนี้จะแนะนำขั้นตอนการตรวจสอบ JWT ที่ออกโดย Logto ใน backend / API ของคุณ โดยตรวจสอบลายเซ็น ผู้ออก (Issuer) ผู้รับ (Audience) วันหมดอายุ สิทธิ์ (ขอบเขต; scopes) และบริบทขององค์กร
ก่อนเริ่มต้น
- คู่มือนี้สมมติว่าคุณคุ้นเคยกับแนวคิด RBAC ของ Logto แล้ว
- หากคุณต้องการปกป้องทรัพยากร API คู่มือนี้สมมติว่าคุณได้อ่าน การปกป้องทรัพยากร API ระดับโกลบอล แล้ว
- หากคุณต้องการปกป้องฟีเจอร์หรือเวิร์กโฟลว์ในแอป (สิทธิ์ที่ไม่ใช่ API) คู่มือนี้สมมติว่าคุณได้อ่าน การปกป้องสิทธิ์ (permissions) ขององค์กร (non-API) แล้ว
- หากคุณต้องการปกป้องทรัพยากร API ระดับองค์กร คู่มือนี้สมมติว่าคุณได้อ่าน การปกป้องทรัพยากร API ระดับองค์กร แล้ว
ขั้นตอนที่ 1: กำหนดค่าคงที่และยูทิลิตี้
กำหนดค่าคงที่และยูทิลิตี้ที่จำเป็นในโค้ดของคุณเพื่อจัดการการดึงและตรวจสอบโทเค็น คำขอที่ถูกต้องต้องมี header Authorization ในรูปแบบ Bearer <access_token>
- Node.js
- Python
- Go
- Java
- .NET
- PHP
- Ruby
- Rust
auth-middleware.ts
import { IncomingHttpHeaders } from 'http';
const JWKS_URI = 'https://your-tenant.logto.app/oidc/jwks';
const ISSUER = 'https://your-tenant.logto.app/oidc';
export class AuthInfo {
constructor(
public sub: string,
public clientId?: string,
public organizationId?: string,
public scopes: string[] = [],
public audience: string[] = []
) {}
}
export class AuthorizationError extends Error {
name = 'AuthorizationError';
constructor(
message: string,
public status = 403
) {
super(message);
}
}
export function extractBearerTokenFromHeaders({ authorization }: IncomingHttpHeaders): string {
const bearerPrefix = 'Bearer ';
if (!authorization) {
// ส่วนหัว Authorization ไม่พบ (Authorization header is missing)
throw new AuthorizationError('Authorization header is missing', 401);
}
if (!authorization.startsWith(bearerPrefix)) {
// ส่วนหัว Authorization ต้องขึ้นต้นด้วย "Bearer " (Authorization header must start with "Bearer ")
throw new AuthorizationError(`Authorization header must start with "${bearerPrefix}"`, 401);
}
return authorization.slice(bearerPrefix.length);
}
auth_middleware.py
JWKS_URI = 'https://your-tenant.logto.app/oidc/jwks'
ISSUER = 'https://your-tenant.logto.app/oidc'
class AuthInfo:
def __init__(self, sub: str, client_id: str = None, organization_id: str = None,
scopes: list = None, audience: list = None):
self.sub = sub
self.client_id = client_id
self.organization_id = organization_id
self.scopes = scopes or []
self.audience = audience or []
def to_dict(self):
return {
'sub': self.sub,
'client_id': self.client_id,
'organization_id': self.organization_id,
'scopes': self.scopes,
'audience': self.audience
}
class AuthorizationError(Exception):
def __init__(self, message: str, status: int = 403):
self.message = message
self.status = status
super().__init__(self.message)
def extract_bearer_token_from_headers(headers: dict) -> str:
"""
ดึงโทเค็น bearer จาก HTTP headers
หมายเหตุ: FastAPI และ Django REST Framework มีฟังก์ชันดึงโทเค็นในตัวอยู่แล้ว
ดังนั้นฟังก์ชันนี้เหมาะสำหรับ Flask และเฟรมเวิร์กอื่น ๆ เป็นหลัก
"""
authorization = headers.get('authorization') or headers.get('Authorization')
if not authorization:
raise AuthorizationError('ไม่มี Authorization header', 401)
if not authorization.startswith('Bearer '):
raise AuthorizationError('Authorization header ต้องขึ้นต้นด้วย "Bearer "', 401)
return authorization[7:] # ลบคำนำหน้า 'Bearer '
auth_middleware.go
package main
import (
"fmt"
"net/http"
"strings"
)
const (
JWKS_URI = "https://your-tenant.logto.app/oidc/jwks"
ISSUER = "https://your-tenant.logto.app/oidc"
)
type AuthorizationError struct {
Message string
Status int
}
func (e *AuthorizationError) Error() string {
return e.Message
}
func NewAuthorizationError(message string, status ...int) *AuthorizationError {
statusCode := http.StatusForbidden // ค่าเริ่มต้นเป็น 403 Forbidden
if len(status) > 0 {
statusCode = status[0]
}
return &AuthorizationError{
Message: message,
Status: statusCode,
}
}
func extractBearerTokenFromHeaders(r *http.Request) (string, error) {
const bearerPrefix = "Bearer "
authorization := r.Header.Get("Authorization")
if authorization == "" {
return "", NewAuthorizationError("ไม่มี Authorization header", http.StatusUnauthorized)
}
if !strings.HasPrefix(authorization, bearerPrefix) {
return "", NewAuthorizationError(fmt.Sprintf("Authorization header ต้องขึ้นต้นด้วย \"%s\"", bearerPrefix), http.StatusUnauthorized)
}
return strings.TrimPrefix(authorization, bearerPrefix), nil
}
AuthorizationException.java
public class AuthorizationException extends RuntimeException {
private final int statusCode;
public AuthorizationException(String message) {
this(message, 403); // ค่าเริ่มต้นเป็น 403 Forbidden
}
public AuthorizationException(String message, int statusCode) {
super(message);
this.statusCode = statusCode;
}
public int getStatusCode() {
return statusCode;
}
}
AuthConstants.cs
namespace YourApiNamespace
{
public static class AuthConstants
{
public const string Issuer = "https://your-tenant.logto.app/oidc";
}
}
AuthenticationExceptions.cs
namespace YourApiNamespace.Exceptions
{
public class AuthorizationException : Exception
{
public int StatusCode { get; }
public AuthorizationException(string message, int statusCode = 403) : base(message)
{
StatusCode = statusCode;
}
}
}
AuthConstants.php
<?php
class AuthConstants
{
public const JWKS_URI = 'https://your-tenant.logto.app/oidc/jwks';
public const ISSUER = 'https://your-tenant.logto.app/oidc';
}
AuthInfo.php
<?php
class AuthInfo
{
public function __construct(
public readonly string $sub,
public readonly ?string $clientId = null,
public readonly ?string $organizationId = null,
public readonly array $scopes = [],
public readonly array $audience = []
) {}
public function toArray(): array
{
return [
'sub' => $this->sub,
'client_id' => $this->clientId,
'organization_id' => $this->organizationId,
'scopes' => $this->scopes,
'audience' => $this->audience,
];
}
}
AuthorizationException.php
<?php
class AuthorizationException extends Exception
{
public function __construct(
string $message,
public readonly int $statusCode = 403
) {
parent::__construct($message);
}
}
AuthHelpers.php
<?php
trait AuthHelpers
{
protected function extractBearerToken(array $headers): string
{
$authorization = $headers['authorization'][0] ?? $headers['Authorization'][0] ?? null;
if (!$authorization) {
throw new AuthorizationException('ส่วนหัว Authorization หายไป (Authorization header is missing)', 401);
}
if (!str_starts_with($authorization, 'Bearer ')) {
throw new AuthorizationException('ส่วนหัว Authorization ต้องขึ้นต้นด้วย "Bearer " (Authorization header must start with "Bearer ")', 401);
}
return substr($authorization, 7); // ลบคำนำหน้า 'Bearer '
}
}
auth_constants.rb
# ค่าคงที่สำหรับการยืนยันตัวตน
module AuthConstants
JWKS_URI = 'https://your-tenant.logto.app/oidc/jwks'
ISSUER = 'https://your-tenant.logto.app/oidc'
end
auth_info.rb
# ข้อมูลการยืนยันตัวตน
class AuthInfo
attr_accessor :sub, :client_id, :organization_id, :scopes, :audience
def initialize(sub, client_id = nil, organization_id = nil, scopes = [], audience = [])
@sub = sub
@client_id = client_id
@organization_id = organization_id
@scopes = scopes
@audience = audience
end
def to_h
{
sub: @sub,
client_id: @client_id,
organization_id: @organization_id,
scopes: @scopes,
audience: @audience
}
end
end
authorization_error.rb
# ข้อผิดพลาดการอนุญาต
class AuthorizationError < StandardError
attr_reader :status
def initialize(message, status = 403)
super(message)
@status = status
end
end
auth_helpers.rb
# ตัวช่วยสำหรับการยืนยันตัวตน
module AuthHelpers
def extract_bearer_token(request)
authorization = request.headers['Authorization']
raise AuthorizationError.new('ไม่มี Authorization header', 401) unless authorization
raise AuthorizationError.new('Authorization header ต้องขึ้นต้นด้วย "Bearer "', 401) unless authorization.start_with?('Bearer ')
authorization[7..-1] # ลบคำนำหน้า 'Bearer '
end
end
lib.rs
use serde::{Deserialize, Serialize};
use std::fmt;
pub const JWKS_URI: &str = "https://your-tenant.logto.app/oidc/jwks";
pub const ISSUER: &str = "https://your-tenant.logto.app/oidc";
#[derive(Debug, Clone, Serialize, Deserialize)]
pub struct AuthInfo {
pub sub: String,
pub client_id: Option<String>,
pub organization_id: Option<String>,
pub scopes: Vec<String>,
pub audience: Vec<String>,
}
impl AuthInfo {
pub fn new(
sub: String,
client_id: Option<String>,
organization_id: Option<String>,
scopes: Vec<String>,
audience: Vec<String>,
) -> Self {
Self {
sub,
client_id,
organization_id,
scopes,
audience,
}
}
}
#[derive(Debug)]
pub struct AuthorizationError {
pub message: String,
pub status_code: u16,
}
impl AuthorizationError {
pub fn new(message: impl Into<String>) -> Self {
Self {
message: message.into(),
status_code: 403,
}
}
pub fn with_status(message: impl Into<String>, status_code: u16) -> Self {
Self {
message: message.into(),
status_code,
}
}
}
impl fmt::Display for AuthorizationError {
fn fmt(&self, f: &mut fmt::Formatter<'_>) -> fmt::Result {
write!(f, "{}", self.message)
}
}
impl std::error::Error for AuthorizationError {}
pub fn extract_bearer_token(authorization: Option<&str>) -> Result<&str, AuthorizationError> {
let auth_header = authorization.ok_or_else(|| {
AuthorizationError::with_status("ไม่มี header Authorization", 401)
})?;
if !auth_header.starts_with("Bearer ") {
return Err(AuthorizationError::with_status(
"header Authorization ต้องขึ้นต้นด้วย \"Bearer \"",
401,
));
}
Ok(&auth_header[7..]) // ลบคำนำหน้า 'Bearer '
}
ขั้นตอนที่ 2: ดึงข้อมูลเกี่ยวกับ Logto tenant ของคุณ
คุณจะต้องใช้ค่าต่อไปนี้เพื่อยืนยันโทเค็นที่ออกโดย Logto:
- URI ของ JSON Web Key Set (JWKS): URL ไปยัง public keys ของ Logto ใช้สำหรับตรวจสอบลายเซ็นของ JWT
- ผู้ออก (Issuer): ค่าผู้ออกที่คาดหวัง (OIDC URL ของ Logto)
ขั้นแรก ให้ค้นหา endpoint ของ Logto tenant ของคุณ คุณสามารถหาได้จากหลายที่:
- ใน Logto Console ที่ Settings → Domains
- ในการตั้งค่าแอปพลิเคชันใด ๆ ที่คุณตั้งค่าใน Logto, Settings → Endpoints & Credentials
ดึงค่าจาก OpenID Connect discovery endpoint
ค่าทั้งหมดนี้สามารถดึงได้จาก OpenID Connect discovery endpoint ของ Logto:
https://<your-logto-endpoint>/oidc/.well-known/openid-configuration
ตัวอย่างการตอบกลับ (ละเว้นฟิลด์อื่นเพื่อความกระชับ):
{
"jwks_uri": "https://your-tenant.logto.app/oidc/jwks",
"issuer": "https://your-tenant.logto.app/oidc"
}
เขียนค่าคงที่ในโค้ดของคุณ (ไม่แนะนำ)
เนื่องจาก Logto ไม่อนุญาตให้ปรับแต่ง JWKS URI หรือผู้ออก (issuer) คุณสามารถเขียนค่าคงที่เหล่านี้ไว้ในโค้ดของคุณได้ อย่างไรก็ตาม ไม่แนะนำให้ใช้วิธีนี้ในแอปพลิเคชัน production เพราะอาจเพิ่มภาระในการดูแลรักษาหากมีการเปลี่ยนแปลงค่าคอนฟิกในอนาคต
- JWKS URI:
https://<your-logto-endpoint>/oidc/jwks - ผู้ออก (Issuer):
https://<your-logto-endpoint>/oidc
ขั้นตอนที่ 3: ตรวจสอบโทเค็นและสิทธิ์ (permissions)
หลังจากดึงโทเค็นและดึงข้อมูล OIDC config แล้ว ให้ตรวจสอบสิ่งต่อไปนี้:
- ลายเซ็น (Signature): JWT ต้องถูกต้องและลงนามโดย Logto (ผ่าน JWKS)
- ผู้ออก (Issuer): ต้องตรงกับผู้ออกของ Logto tenant ของคุณ
- ผู้รับ (Audience): ต้องตรงกับตัวบ่งชี้ทรัพยากร API ที่ลงทะเบียนใน Logto หรือบริบทขององค์กรหากเกี่ยวข้อง
- วันหมดอายุ (Expiration): โทเค็นต้องไม่หมดอายุ
- สิทธิ์ (ขอบเขต) (Permissions (scopes)): โทเค็นต้องมีขอบเขตที่จำเป็นสำหรับ API / การกระทำของคุณ ขอบเขตจะเป็นสตริงที่คั่นด้วยช่องว่างใน
scopeการอ้างสิทธิ์ (claim) - บริบทองค์กร (Organization context): หากปกป้องทรัพยากร API ระดับองค์กร ให้ตรวจสอบการอ้างสิทธิ์
organization_id
ดู JSON Web Token เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับโครงสร้างและการอ้างสิทธิ์ของ JWT
สิ่งที่ต้องตรวจสอบสำหรับแต่ละโมเดลสิทธิ์ (What to check for each permission model)
การอ้างสิทธิ์ (claims) และกฎการตรวจสอบจะแตกต่างกันไปตามโมเดลสิทธิ์:
- ทรัพยากร API ระดับโกลบอล (Global API resources)
- สิทธิ์ขององค์กร (ไม่ใช่ API) (Organization (non-API) permissions)
- ทรัพยากร API ระดับองค์กร (Organization-level API resources)
- การอ้างสิทธิ์ผู้รับ (
aud): ตัวบ่งชี้ทรัพยากร API - การอ้างสิทธิ์องค์กร (
organization_id): ไม่มี - ขอบเขต (สิทธิ์) ที่ต้องตรวจสอบ (
scope): สิทธิ์ของทรัพยากร API
- การอ้างสิทธิ์ผู้รับ (
aud):urn:logto:organization:<id>(บริบทองค์กรอยู่ในการอ้างสิทธิ์aud) - การอ้างสิทธิ์องค์กร (
organization_id): ไม่มี - ขอบเขต (สิทธิ์) ที่ต้องตรวจสอบ (
scope): สิทธิ์ขององค์กร
- การอ้างสิทธิ์ผู้รับ (
aud): ตัวบ่งชี้ทรัพยากร API - การอ้างสิทธิ์องค์กร (
organization_id): รหัสองค์กร (ต้องตรงกับคำขอ) - ขอบเขต (สิทธิ์) ที่ต้องตรวจสอบ (
scope): สิทธิ์ของทรัพยากร API
สำหรับสิทธิ์ขององค์กรที่ไม่ใช่ API บริบทขององค์กรจะแสดงโดยการอ้างสิทธิ์ aud (เช่น
urn:logto:organization:abc123) การอ้างสิทธิ์ organization_id จะมีเฉพาะในโทเค็นทรัพยากร API
ระดับองค์กรเท่านั้น
เคล็ดลับ:
ควรตรวจสอบทั้งสิทธิ์ (ขอบเขต) และบริบท (ผู้รับ, องค์กร) เสมอ เพื่อความปลอดภัยของ API แบบหลายผู้เช่า
เพิ่มตรรกะการตรวจสอบ
- Node.js
- Python
- Go
- Java
- .NET
- PHP
- Ruby
- Rust
เราใช้ jose ในตัวอย่างนี้เพื่อใช้ตรวจสอบความถูกต้องของ JWT หากคุณยังไม่ได้ติดตั้ง ให้ติดตั้งดังนี้:
npm install jose
หรือใช้ตัวจัดการแพ็กเกจที่คุณชื่นชอบ (เช่น pnpm หรือ yarn)
ก่อนอื่น เพิ่มยูทิลิตี้ที่ใช้ร่วมกันเหล่านี้เพื่อจัดการการตรวจสอบ JWT:
jwt-validator.ts
import { createRemoteJWKSet, jwtVerify, JWTPayload } from 'jose';
import { AuthInfo, AuthorizationError } from './auth-middleware.js';
const jwks = createRemoteJWKSet(new URL(JWKS_URI));
export async function validateJwt(token: string): Promise<JWTPayload> {
const { payload } = await jwtVerify(token, jwks, {
issuer: ISSUER,
});
verifyPayload(payload);
return payload;
}
export function createAuthInfo(payload: JWTPayload): AuthInfo {
const scopes = (payload.scope as string)?.split(' ') ?? [];
const audience = Array.isArray(payload.aud) ? payload.aud : payload.aud ? [payload.aud] : [];
return new AuthInfo(
payload.sub!,
payload.client_id as string,
payload.organization_id as string,
scopes,
audience
);
}
function verifyPayload(payload: JWTPayload): void {
// เพิ่มตรรกะการตรวจสอบของคุณที่นี่ตามโมเดลสิทธิ์ (permission model)
// ตัวอย่างจะอธิบายในส่วนโมเดลสิทธิ์ด้านล่าง
}
จากนั้น ให้สร้าง middleware เพื่อตรวจสอบ access token:
- Express.js
- Fastify
- Hapi.js
- Koa.js
- NestJS
auth-middleware.ts
import { Request, Response, NextFunction } from 'express';
import { validateJwt, createAuthInfo } from './jwt-validator.js';
// ขยายอินเทอร์เฟซ Request ของ Express เพื่อเพิ่ม auth
declare global {
namespace Express {
interface Request {
auth?: AuthInfo;
}
}
}
export async function verifyAccessToken(req: Request, res: Response, next: NextFunction) {
try {
const token = extractBearerTokenFromHeaders(req.headers);
const payload = await validateJwt(token);
// เก็บข้อมูล auth ใน request เพื่อใช้งานทั่วไป
req.auth = createAuthInfo(payload);
next();
} catch (err: any) {
return res.status(err.status ?? 401).json({ error: err.message });
}
}
auth-middleware.ts
import { FastifyRequest, FastifyReply } from 'fastify';
import { validateJwt, createAuthInfo } from './jwt-validator.js';
// ขยายอินเทอร์เฟซ Fastify Request เพื่อเพิ่ม auth
declare module 'fastify' {
interface FastifyRequest {
auth?: AuthInfo;
}
}
export async function fastifyVerifyAccessToken(request: FastifyRequest, reply: FastifyReply) {
try {
const token = extractBearerTokenFromHeaders(request.headers);
const payload = await validateJwt(token);
// เก็บข้อมูลการยืนยันตัวตน (auth info) ใน request เพื่อใช้งานทั่วไป
request.auth = createAuthInfo(payload);
} catch (err: any) {
reply.code(err.status ?? 401).send({ error: err.message });
}
}
auth-middleware.ts
import { Request, ResponseToolkit } from '@hapi/hapi';
import { validateJwt, createAuthInfo } from './jwt-validator.js';
export async function hapiVerifyAccessToken(request: Request, h: ResponseToolkit) {
try {
const token = extractBearerTokenFromHeaders(request.headers);
const payload = await validateJwt(token);
// เก็บข้อมูลการยืนยันตัวตนใน request.app เพื่อใช้งานทั่วไป
request.app.auth = createAuthInfo(payload);
return h.continue;
} catch (err: any) {
return h
.response({ error: err.message })
.code(err.status ?? 401)
.takeover();
}
}
auth-middleware.ts
import { Context, Next } from 'koa';
import { validateJwt, createAuthInfo } from './jwt-validator.js';
export async function koaVerifyAccessToken(ctx: Context, next: Next) {
try {
const token = extractBearerTokenFromHeaders(ctx.request.headers);
const payload = await validateJwt(token);
// เก็บข้อมูลการยืนยันตัวตน (auth info) ไว้ใน state เพื่อใช้งานทั่วไป
ctx.state.auth = createAuthInfo(payload);
await next();
} catch (err: any) {
ctx.status = err.status ?? 401;
ctx.body = { error: err.message };
}
}
access-token.guard.ts
import {
Injectable,
CanActivate,
ExecutionContext,
UnauthorizedException,
ForbiddenException,
} from '@nestjs/common';
import { validateJwt, createAuthInfo } from './jwt-validator.js';
@Injectable()
export class AccessTokenGuard implements CanActivate {
async canActivate(context: ExecutionContext): Promise<boolean> {
const req = context.switchToHttp().getRequest();
try {
const token = extractBearerTokenFromHeaders(req.headers);
const payload = await validateJwt(token);
// เก็บข้อมูลการยืนยันตัวตนใน request เพื่อใช้งานทั่วไป
req.auth = createAuthInfo(payload);
return true;
} catch (err: any) {
if (err.status === 401) throw new UnauthorizedException(err.message);
throw new ForbiddenException(err.message);
}
}
}
ตามโมเดลสิทธิ์ของคุณ ให้เพิ่มตรรกะการตรวจสอบที่เหมาะสมใน jwt-validator.ts:
- ทรัพยากร API ระดับโกลบอล
- สิทธิ์ขององค์กร (ไม่ใช่ API)
- ทรัพยากร API ระดับองค์กร
jwt-validator.ts
function verifyPayload(payload: JWTPayload): void {
// ตรวจสอบว่า audience claim ตรงกับตัวบ่งชี้ทรัพยากร API ของคุณ
const audiences = Array.isArray(payload.aud) ? payload.aud : payload.aud ? [payload.aud] : [];
if (!audiences.includes('https://your-api-resource-indicator')) {
throw new AuthorizationError('Invalid audience');
}
// ตรวจสอบขอบเขต (scopes) ที่จำเป็นสำหรับทรัพยากร API ระดับโกลบอล
const requiredScopes = ['api:read', 'api:write']; // แทนที่ด้วยขอบเขตที่คุณต้องการจริง
const scopes = (payload.scope as string)?.split(' ') ?? [];
if (!requiredScopes.every((scope) => scopes.includes(scope))) {
throw new AuthorizationError('Insufficient scope');
}
}
jwt-validator.ts
function verifyPayload(payload: JWTPayload): void {
// ตรวจสอบว่า audience claim ตรงกับรูปแบบขององค์กร
const audiences = Array.isArray(payload.aud) ? payload.aud : payload.aud ? [payload.aud] : [];
const hasOrgAudience = audiences.some((aud) => aud.startsWith('urn:logto:organization:'));
if (!hasOrgAudience) {
throw new AuthorizationError('Invalid audience for organization permissions');
}
// ตรวจสอบว่า organization ID ตรงกับ context (คุณอาจต้องดึงจาก request context)
const expectedOrgId = 'your-organization-id'; // ดึงจาก request context
const expectedAud = `urn:logto:organization:${expectedOrgId}`;
if (!audiences.includes(expectedAud)) {
throw new AuthorizationError('Organization ID mismatch');
}
// ตรวจสอบขอบเขต (scopes) ที่จำเป็นสำหรับองค์กร
const requiredScopes = ['invite:users', 'manage:settings']; // แทนที่ด้วยขอบเขตที่คุณต้องการจริง
const scopes = (payload.scope as string)?.split(' ') ?? [];
if (!requiredScopes.every((scope) => scopes.includes(scope))) {
throw new AuthorizationError('Insufficient organization scope');
}
}
jwt-validator.ts
function verifyPayload(payload: JWTPayload): void {
// ตรวจสอบว่า audience claim ตรงกับตัวบ่งชี้ทรัพยากร API ของคุณ
const audiences = Array.isArray(payload.aud) ? payload.aud : payload.aud ? [payload.aud] : [];
if (!audiences.includes('https://your-api-resource-indicator')) {
throw new AuthorizationError('Invalid audience for organization-level API resources');
}
// ตรวจสอบว่า organization ID ตรงกับ context (คุณอาจต้องดึงจาก request context)
const expectedOrgId = 'your-organization-id'; // ดึงจาก request context
const orgId = payload.organization_id as string;
if (expectedOrgId !== orgId) {
throw new AuthorizationError('Organization ID mismatch');
}
// ตรวจสอบขอบเขต (scopes) ที่จำเป็นสำหรับทรัพยากร API ระดับองค์กร
const requiredScopes = ['api:read', 'api:write']; // แทนที่ด้วยขอบเขตที่คุณต้องการจริง
const scopes = (payload.scope as string)?.split(' ') ?? [];
if (!requiredScopes.every((scope) => scopes.includes(scope))) {
throw new AuthorizationError('Insufficient organization-level API scopes');
}
}
เราใช้ PyJWT สำหรับตรวจสอบ JWT หากคุณยังไม่ได้ติดตั้ง ให้ติดตั้งดังนี้:
pip install pyjwt[crypto]
ก่อนอื่น เพิ่มยูทิลิตี้ที่ใช้ร่วมกันเหล่านี้เพื่อจัดการการตรวจสอบ JWT:
jwt_validator.py
import jwt
from jwt import PyJWKClient
from typing import Dict, Any
from auth_middleware import AuthInfo, AuthorizationError, JWKS_URI, ISSUER
jwks_client = PyJWKClient(JWKS_URI)
def validate_jwt(token: str) -> Dict[str, Any]:
"""ตรวจสอบ JWT และคืนค่า payload"""
try:
signing_key = jwks_client.get_signing_key_from_jwt(token)
payload = jwt.decode(
token,
signing_key.key,
algorithms=['RS256'],
issuer=ISSUER,
options={'verify_aud': False} # เราจะตรวจสอบ audience ด้วยตนเอง
)
verify_payload(payload)
return payload
except jwt.InvalidTokenError as e:
raise AuthorizationError(f'โทเค็นไม่ถูกต้อง: {str(e)}', 401)
except Exception as e:
raise AuthorizationError(f'การตรวจสอบโทเค็นล้มเหลว: {str(e)}', 401)
def create_auth_info(payload: Dict[str, Any]) -> AuthInfo:
"""สร้าง AuthInfo จาก JWT payload"""
scopes = payload.get('scope', '').split(' ') if payload.get('scope') else []
audience = payload.get('aud', [])
if isinstance(audience, str):
audience = [audience]
return AuthInfo(
sub=payload.get('sub'),
client_id=payload.get('client_id'),
organization_id=payload.get('organization_id'),
scopes=scopes,
audience=audience
)
def verify_payload(payload: Dict[str, Any]) -> None:
"""ตรวจสอบ payload ตามโมเดลสิทธิ์ (permission model)"""
# เพิ่มตรรกะการตรวจสอบของคุณที่นี่ตามโมเดลสิทธิ์
# จะอธิบายในส่วนโมเดลสิทธิ์ด้านล่าง
pass
จากนั้น ให้สร้าง middleware เพื่อตรวจสอบ access token:
- FastAPI
- Flask
- Django
- Django REST Framework
auth_middleware.py
from fastapi import HTTPException, Depends
from fastapi.security import HTTPBearer, HTTPAuthorizationCredentials
from jwt_validator import validate_jwt, create_auth_info
security = HTTPBearer()
async def verify_access_token(credentials: HTTPAuthorizationCredentials = Depends(security)) -> AuthInfo:
try:
token = credentials.credentials
payload = validate_jwt(token)
return create_auth_info(payload)
except AuthorizationError as e:
# เกิดข้อผิดพลาดในการอนุญาต (Authorization)
raise HTTPException(status_code=e.status, detail=str(e))
auth_middleware.py
from functools import wraps
from flask import request, jsonify, g
from jwt_validator import validate_jwt, create_auth_info
def verify_access_token(f):
@wraps(f)
def decorated_function(*args, **kwargs):
try:
token = extract_bearer_token_from_headers(dict(request.headers))
payload = validate_jwt(token)
# เก็บข้อมูลการยืนยันตัวตนในอ็อบเจ็กต์ g ของ Flask เพื่อใช้งานทั่วไป
g.auth = create_auth_info(payload)
return f(*args, **kwargs)
except AuthorizationError as e:
return jsonify({'error': str(e)}), e.status
return decorated_function
auth_middleware.py
from django.http import JsonResponse
from jwt_validator import validate_jwt, create_auth_info
def require_access_token(view_func):
def wrapper(request, *args, **kwargs):
try:
headers = {key.replace('HTTP_', '').replace('_', '-').lower(): value
for key, value in request.META.items() if key.startswith('HTTP_')}
token = extract_bearer_token_from_headers(headers)
payload = validate_jwt(token)
# แนบข้อมูลการยืนยันตัวตน (auth info) ไปยัง request เพื่อใช้งานทั่วไป
request.auth = create_auth_info(payload)
return view_func(request, *args, **kwargs)
except AuthorizationError as e:
return JsonResponse({'error': str(e)}, status=e.status)
return wrapper
auth_middleware.py
from rest_framework.authentication import TokenAuthentication
from rest_framework import exceptions
from jwt_validator import validate_jwt, create_auth_info
class AccessTokenAuthentication(TokenAuthentication):
keyword = 'Bearer' # ใช้ 'Bearer' แทน 'Token'
def authenticate_credentials(self, key):
"""
ยืนยันตัวตนของโทเค็นโดยตรวจสอบว่าเป็น JWT หรือไม่
"""
try:
payload = validate_jwt(key)
auth_info = create_auth_info(payload)
# สร้างอ็อบเจกต์ที่คล้ายผู้ใช้ซึ่งเก็บข้อมูล auth สำหรับใช้งานทั่วไป
user = type('User', (), {
'auth': auth_info,
'is_authenticated': True,
'is_anonymous': False,
'is_active': True,
})()
return (user, key)
except AuthorizationError as e:
if e.status == 401:
raise exceptions.AuthenticationFailed(str(e))
else: # 403
raise exceptions.PermissionDenied(str(e))
ตามโมเดลสิทธิ์ของคุณ ให้เพิ่มตรรกะการตรวจสอบที่เหมาะสมใน jwt_validator.py:
- ทรัพยากร API ระดับโกลบอล
- สิทธิ์ขององค์กร (ไม่ใช่ API)
- ทรัพยากร API ระดับองค์กร
jwt_validator.py
def verify_payload(payload: Dict[str, Any]) -> None:
"""ตรวจสอบ payload สำหรับทรัพยากร API ระดับโกลบอล"""
# ตรวจสอบ claim audience ว่าตรงกับตัวบ่งชี้ทรัพยากร API ของคุณหรือไม่
audiences = payload.get('aud', [])
if isinstance(audiences, str):
audiences = [audiences]
if 'https://your-api-resource-indicator' not in audiences:
raise AuthorizationError('Audience ไม่ถูกต้อง')
# ตรวจสอบ scope ที่จำเป็นสำหรับทรัพยากร API ระดับโกลบอล
required_scopes = ['api:read', 'api:write'] # แทนที่ด้วย scope ที่คุณต้องการจริง
scopes = payload.get('scope', '').split(' ') if payload.get('scope') else []
if not all(scope in scopes for scope in required_scopes):
raise AuthorizationError('Scope ไม่เพียงพอ')
jwt_validator.py
def verify_payload(payload: Dict[str, Any]) -> None:
"""ตรวจสอบ payload สำหรับสิทธิ์ขององค์กร"""
# ตรวจสอบ claim audience ว่าตรงกับรูปแบบขององค์กรหรือไม่
audiences = payload.get('aud', [])
if isinstance(audiences, str):
audiences = [audiences]
has_org_audience = any(aud.startswith('urn:logto:organization:') for aud in audiences)
if not has_org_audience:
raise AuthorizationError('Audience สำหรับสิทธิ์ขององค์กรไม่ถูกต้อง')
# ตรวจสอบว่า organization ID ตรงกับ context หรือไม่ (คุณอาจต้องดึงจาก request context)
expected_org_id = 'your-organization-id' # ดึงจาก request context
expected_aud = f'urn:logto:organization:{expected_org_id}'
if expected_aud not in audiences:
raise AuthorizationError('Organization ID ไม่ตรงกัน')
# ตรวจสอบ scope ที่จำเป็นสำหรับองค์กร
required_scopes = ['invite:users', 'manage:settings'] # แทนที่ด้วย scope ที่คุณต้องการจริง
scopes = payload.get('scope', '').split(' ') if payload.get('scope') else []
if not all(scope in scopes for scope in required_scopes):
raise AuthorizationError('Scope ขององค์กรไม่เพียงพอ')
jwt_validator.py
def verify_payload(payload: Dict[str, Any]) -> None:
"""ตรวจสอบ payload สำหรับทรัพยากร API ระดับองค์กร"""
# ตรวจสอบ claim audience ว่าตรงกับตัวบ่งชี้ทรัพยากร API ของคุณหรือไม่
audiences = payload.get('aud', [])
if isinstance(audiences, str):
audiences = [audiences]
if 'https://your-api-resource-indicator' not in audiences:
raise AuthorizationError('Audience สำหรับทรัพยากร API ระดับองค์กรไม่ถูกต้อง')
# ตรวจสอบว่า organization ID ตรงกับ context หรือไม่ (คุณอาจต้องดึงจาก request context)
expected_org_id = 'your-organization-id' # ดึงจาก request context
org_id = payload.get('organization_id')
if expected_org_id != org_id:
raise AuthorizationError('Organization ID ไม่ตรงกัน')
# ตรวจสอบ scope ที่จำเป็นสำหรับทรัพยากร API ระดับองค์กร
required_scopes = ['api:read', 'api:write'] # แทนที่ด้วย scope ที่คุณต้องการจริง
scopes = payload.get('scope', '').split(' ') if payload.get('scope') else []
if not all(scope in scopes for scope in required_scopes):
raise AuthorizationError('Scope สำหรับทรัพยากร API ระดับองค์กรไม่เพียงพอ')
เราใช้ github.com/lestrrat-go/jwx สำหรับตรวจสอบความถูกต้องของ JWTs หากคุณยังไม่ได้ติดตั้ง ให้ติดตั้งดังนี้:
go mod init your-project
go get github.com/lestrrat-go/jwx/v3
ก่อนอื่น เพิ่มคอมโพเนนต์ที่ใช้ร่วมกันเหล่านี้ลงใน auth_middleware.go ของคุณ:
auth_middleware.go
import (
"context"
"strings"
"time"
"github.com/lestrrat-go/jwx/v3/jwk"
"github.com/lestrrat-go/jwx/v3/jwt"
)
var jwkSet jwk.Set
func init() {
// เริ่มต้นแคช JWKS
ctx, cancel := context.WithTimeout(context.Background(), 10*time.Second)
defer cancel()
var err error
jwkSet, err = jwk.Fetch(ctx, JWKS_URI)
if err != nil {
panic("ดึง JWKS ไม่สำเร็จ: " + err.Error())
}
}
// validateJWT ตรวจสอบ JWT และคืนค่า token ที่แปลงแล้ว
func validateJWT(tokenString string) (jwt.Token, error) {
token, err := jwt.Parse([]byte(tokenString), jwt.WithKeySet(jwkSet))
if err != nil {
return nil, NewAuthorizationError("โทเค็นไม่ถูกต้อง: "+err.Error(), http.StatusUnauthorized)
}
// ตรวจสอบผู้ออก (issuer)
if token.Issuer() != ISSUER {
return nil, NewAuthorizationError("ผู้ออกไม่ถูกต้อง", http.StatusUnauthorized)
}
if err := verifyPayload(token); err != nil {
return nil, err
}
return token, nil
}
// ฟังก์ชันช่วยเหลือสำหรับดึงข้อมูลจากโทเค็น
func getStringClaim(token jwt.Token, key string) string {
if val, ok := token.Get(key); ok {
if str, ok := val.(string); ok {
return str
}
}
return ""
}
func getScopesFromToken(token jwt.Token) []string {
if val, ok := token.Get("scope"); ok {
if scope, ok := val.(string); ok && scope != "" {
return strings.Split(scope, " ")
}
}
return []string{}
}
func getAudienceFromToken(token jwt.Token) []string {
return token.Audience()
}
จากนั้น ให้เขียน middleware เพื่อตรวจสอบ access token:
- Gin
- Fiber
- Echo
- Chi
auth_middleware.go
import "github.com/gin-gonic/gin"
func VerifyAccessToken() gin.HandlerFunc {
return func(c *gin.Context) {
tokenString, err := extractBearerTokenFromHeaders(c.Request)
if err != nil {
authErr := err.(*AuthorizationError)
c.JSON(authErr.Status, gin.H{"error": authErr.Message})
c.Abort()
return
}
token, err := validateJWT(tokenString)
if err != nil {
authErr := err.(*AuthorizationError)
c.JSON(authErr.Status, gin.H{"error": authErr.Message})
c.Abort()
return
}
// เก็บโทเค็นไว้ใน context เพื่อใช้งานทั่วไป
c.Set("auth", token)
c.Next()
}
}
auth_middleware.go
import (
"net/http"
"github.com/gofiber/fiber/v2"
)
func VerifyAccessToken(c *fiber.Ctx) error {
// แปลงคำขอ fiber เป็น http.Request เพื่อความเข้ากันได้
req := &http.Request{
Header: make(http.Header),
}
req.Header.Set("Authorization", c.Get("Authorization"))
tokenString, err := extractBearerTokenFromHeaders(req)
if err != nil {
authErr := err.(*AuthorizationError)
return c.Status(authErr.Status).JSON(fiber.Map{"error": authErr.Message})
}
token, err := validateJWT(tokenString)
if err != nil {
authErr := err.(*AuthorizationError)
return c.Status(authErr.Status).JSON(fiber.Map{"error": authErr.Message})
}
// เก็บ token ใน locals เพื่อใช้งานทั่วไป
c.Locals("auth", token)
return c.Next()
}
auth_middleware.go
import "github.com/labstack/echo/v4"
func VerifyAccessToken(next echo.HandlerFunc) echo.HandlerFunc {
return func(c echo.Context) error {
tokenString, err := extractBearerTokenFromHeaders(c.Request())
if err != nil {
// เกิดข้อผิดพลาดในการตรวจสอบโทเค็นการเข้าถึง
authErr := err.(*AuthorizationError)
return c.JSON(authErr.Status, echo.Map{"error": authErr.Message})
}
token, err := validateJWT(tokenString)
if err != nil {
// โทเค็นไม่ถูกต้องหรือหมดอายุ
authErr := err.(*AuthorizationError)
return c.JSON(authErr.Status, echo.Map{"error": authErr.Message})
}
// เก็บโทเค็นไว้ใน context เพื่อใช้งานทั่วไป
c.Set("auth", token)
return next(c)
}
}
auth_middleware.go
import (
"context"
"encoding/json"
"net/http"
)
type contextKey string
const AuthContextKey contextKey = "auth"
func VerifyAccessToken(next http.Handler) http.Handler {
return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
tokenString, err := extractBearerTokenFromHeaders(r)
if err != nil {
authErr := err.(*AuthorizationError)
w.Header().Set("Content-Type", "application/json")
w.WriteHeader(authErr.Status)
json.NewEncoder(w).Encode(map[string]string{"error": authErr.Message})
return
}
token, err := validateJWT(tokenString)
if err != nil {
authErr := err.(*AuthorizationError)
w.Header().Set("Content-Type", "application/json")
w.WriteHeader(authErr.Status)
json.NewEncoder(w).Encode(map[string]string{"error": authErr.Message})
return
}
// เก็บโทเค็นไว้ใน context เพื่อใช้งานทั่วไป
ctx := context.WithValue(r.Context(), AuthContextKey, token)
next.ServeHTTP(w, r.WithContext(ctx))
})
}
ตามโมเดลสิทธิ์ของคุณ คุณอาจต้องใช้ตรรกะ verifyPayload ที่แตกต่างกัน:
- ทรัพยากร API ระดับโกลบอล
- สิทธิ์ขององค์กร (ไม่ใช่ API)
- ทรัพยากร API ระดับองค์กร
auth_middleware.go
func verifyPayload(token jwt.Token) error {
// ตรวจสอบว่า audience claim ตรงกับตัวบ่งชี้ทรัพยากร API ของคุณ
if !hasAudience(token, "https://your-api-resource-indicator") {
return NewAuthorizationError("audience ไม่ถูกต้อง")
}
// ตรวจสอบ scope ที่จำเป็นสำหรับทรัพยากร API ระดับโกลบอล
requiredScopes := []string{"api:read", "api:write"} // เปลี่ยนเป็น scope ที่คุณต้องการจริง
if !hasRequiredScopes(token, requiredScopes) {
return NewAuthorizationError("scope ไม่เพียงพอ")
}
return nil
}
auth_middleware.go
func verifyPayload(token jwt.Token) error {
// ตรวจสอบว่า audience claim อยู่ในรูปแบบขององค์กร
if !hasOrganizationAudience(token) {
return NewAuthorizationError("audience สำหรับสิทธิ์องค์กรไม่ถูกต้อง")
}
// ตรวจสอบว่า organization ID ตรงกับ context (คุณอาจต้องดึงจาก request context)
expectedOrgID := "your-organization-id" // ดึงจาก request context
if !hasMatchingOrganization(token, expectedOrgID) {
return NewAuthorizationError("Organization ID ไม่ตรงกัน")
}
// ตรวจสอบ scope ที่จำเป็นสำหรับองค์กร
requiredScopes := []string{"invite:users", "manage:settings"} // เปลี่ยนเป็น scope ที่คุณต้องการจริง
if !hasRequiredScopes(token, requiredScopes) {
return NewAuthorizationError("scope ขององค์กรไม่เพียงพอ")
}
return nil
}
auth_middleware.go
func verifyPayload(token jwt.Token) error {
// ตรวจสอบว่า audience claim ตรงกับตัวบ่งชี้ทรัพยากร API ของคุณ
if !hasAudience(token, "https://your-api-resource-indicator") {
return NewAuthorizationError("audience สำหรับทรัพยากร API ระดับองค์กรไม่ถูกต้อง")
}
// ตรวจสอบว่า organization ID ตรงกับ context (คุณอาจต้องดึงจาก request context)
expectedOrgID := "your-organization-id" // ดึงจาก request context
if !hasMatchingOrganizationID(token, expectedOrgID) {
return NewAuthorizationError("Organization ID ไม่ตรงกัน")
}
// ตรวจสอบ scope ที่จำเป็นสำหรับทรัพยากร API ระดับองค์กร
requiredScopes := []string{"api:read", "api:write"} // เปลี่ยนเป็น scope ที่คุณต้องการจริง
if !hasRequiredScopes(token, requiredScopes) {
return NewAuthorizationError("scope สำหรับทรัพยากร API ระดับองค์กรไม่เพียงพอ")
}
return nil
}
เพิ่มฟังก์ชันช่วยเหลือเหล่านี้สำหรับตรวจสอบ payload:
auth_middleware.go
// hasAudience ตรวจสอบว่าโทเค็นมี audience ที่ระบุหรือไม่
func hasAudience(token jwt.Token, expectedAud string) bool {
audiences := token.Audience()
for _, aud := range audiences {
if aud == expectedAud {
return true
}
}
return false
}
// hasOrganizationAudience ตรวจสอบว่าโทเค็นมี audience ในรูปแบบองค์กรหรือไม่
func hasOrganizationAudience(token jwt.Token) bool {
audiences := token.Audience()
for _, aud := range audiences {
if strings.HasPrefix(aud, "urn:logto:organization:") {
return true
}
}
return false
}
// hasRequiredScopes ตรวจสอบว่าโทเค็นมี scope ที่จำเป็นครบหรือไม่
func hasRequiredScopes(token jwt.Token, requiredScopes []string) bool {
scopes := getScopesFromToken(token)
for _, required := range requiredScopes {
found := false
for _, scope := range scopes {
if scope == required {
found = true
break
}
}
if !found {
return false
}
}
return true
}
// hasMatchingOrganization ตรวจสอบว่า audience ของโทเค็นตรงกับองค์กรที่ต้องการหรือไม่
func hasMatchingOrganization(token jwt.Token, expectedOrgID string) bool {
expectedAud := fmt.Sprintf("urn:logto:organization:%s", expectedOrgID)
return hasAudience(token, expectedAud)
}
// hasMatchingOrganizationID ตรวจสอบว่า organization_id ในโทเค็นตรงกับที่ต้องการหรือไม่
func hasMatchingOrganizationID(token jwt.Token, expectedOrgID string) bool {
orgID := getStringClaim(token, "organization_id")
return orgID == expectedOrgID
}
เราใช้ไลบรารี JWT ที่แตกต่างกันขึ้นอยู่กับเฟรมเวิร์ก กรุณาติดตั้ง dependencies ที่จำเป็น:
- Spring Boot
- Quarkus
- Micronaut
- Vert.x Web
เพิ่มลงใน pom.xml ของคุณ:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-oauth2-resource-server</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-oauth2-jose</artifactId>
</dependency>
JwtSecurityConfig.java
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.oauth2.jwt.JwtDecoder;
import org.springframework.security.oauth2.jwt.NimbusJwtDecoder;
import org.springframework.security.web.SecurityFilterChain;
@Configuration
@EnableWebSecurity
public class JwtSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authz -> authz
.requestMatchers("/api/protected/**").authenticated()
.anyRequest().permitAll()
)
.oauth2ResourceServer(oauth2 -> oauth2
.jwt(jwt -> jwt.decoder(jwtDecoder()))
);
return http.build();
}
@Bean
public JwtDecoder jwtDecoder() {
// อย่าลืมตั้งค่าตัวแปรสภาพแวดล้อมเหล่านี้ในระบบ deployment ของคุณ
String jwksUri = System.getenv("JWKS_URI");
String issuer = System.getenv("JWT_ISSUER");
return NimbusJwtDecoder.withJwkSetUri(jwksUri)
.issuer(issuer)
.build();
}
}
JwtValidator.java
import org.springframework.security.oauth2.jwt.Jwt;
import org.springframework.stereotype.Component;
import java.util.List;
@Component
public class JwtValidator {
public void verifyPayload(Jwt jwt) {
// การตรวจสอบผู้ออก (Issuer) จะถูกจัดการโดยอัตโนมัติด้วย Spring Security JWT decoder
// เพิ่มตรรกะการตรวจสอบเพิ่มเติมของคุณที่นี่ตามโมเดลสิทธิ์ (permission model)
// ใช้เมธอดช่วยเหลือด้านล่างสำหรับการดึงข้อมูล claim
// ตัวอย่าง: throw new AuthorizationException("Insufficient permissions");
// รหัสสถานะ (status code) จะถูกจัดการโดยกลไกจัดการข้อยกเว้นของ Spring Security
}
// เมธอดช่วยเหลือสำหรับ Spring Boot JWT
private List<String> extractAudiences(Jwt jwt) {
return jwt.getAudience();
}
private String extractScopes(Jwt jwt) {
return jwt.getClaimAsString("scope");
}
private String extractOrganizationId(Jwt jwt) {
return jwt.getClaimAsString("organization_id");
}
}
เพิ่มใน pom.xml ของคุณ:
<dependency>
<groupId>io.quarkus</groupId>
<artifactId>quarkus-smallrye-jwt</artifactId>
</dependency>
<dependency>
<groupId>io.quarkus</groupId>
<artifactId>quarkus-resteasy-reactive</artifactId>
</dependency>
application.properties
# การตั้งค่า JWT
mp.jwt.verify.publickey.location=${JWKS_URI:https://your-tenant.logto.app/oidc/jwks}
mp.jwt.verify.issuer=${JWT_ISSUER:https://your-tenant.logto.app/oidc}
JwtVerificationFilter.java
import org.eclipse.microprofile.jwt.JsonWebToken;
import jakarta.enterprise.context.ApplicationScoped;
import jakarta.inject.Inject;
import jakarta.ws.rs.container.ContainerRequestContext;
import jakarta.ws.rs.container.ContainerRequestFilter;
import jakarta.ws.rs.core.Response;
import jakarta.ws.rs.ext.Provider;
import java.util.ArrayList;
import java.util.List;
@Provider
@ApplicationScoped
public class JwtVerificationFilter implements ContainerRequestFilter {
@Inject
JsonWebToken jwt;
@Override
public void filter(ContainerRequestContext requestContext) {
if (requestContext.getUriInfo().getPath().startsWith("/api/protected")) {
try {
verifyPayload(jwt);
requestContext.setProperty("auth", jwt);
} catch (AuthorizationException e) {
requestContext.abortWith(
Response.status(e.getStatusCode())
.entity("{\"error\": \"" + e.getMessage() + "\"}")
.build()
);
} catch (Exception e) {
requestContext.abortWith(
Response.status(401)
.entity("{\"error\": \"โทเค็นไม่ถูกต้อง (Invalid token)\"}")
.build()
);
}
}
}
private void verifyPayload(JsonWebToken jwt) {
// การตรวจสอบผู้ออก (Issuer) ถูกจัดการโดยอัตโนมัติด้วย Quarkus JWT extension
// เพิ่มตรรกะการตรวจสอบเพิ่มเติมของคุณที่นี่ตามโมเดลสิทธิ์ (permission model)
// ใช้เมธอดช่วยเหลือด้านล่างสำหรับการดึงการอ้างสิทธิ์ (claim)
}
// เมธอดช่วยเหลือสำหรับ Quarkus JWT
private List<String> extractAudiences(JsonWebToken jwt) {
return new ArrayList<>(jwt.getAudience());
}
private String extractScopes(JsonWebToken jwt) {
return jwt.getClaim("scope");
}
private String extractOrganizationId(JsonWebToken jwt) {
return jwt.getClaim("organization_id");
}
}
เพิ่มลงใน pom.xml ของคุณ:
<dependency>
<groupId>io.micronaut.security</groupId>
<artifactId>micronaut-security-jwt</artifactId>
</dependency>
<dependency>
<groupId>io.micronaut</groupId>
<artifactId>micronaut-http-server-netty</artifactId>
</dependency>
application.yml
micronaut:
security:
authentication: bearer
token:
jwt:
signatures:
jwks:
logto:
url: ${JWKS_URI:https://your-tenant.logto.app/oidc/jwks}
claims-validators:
issuer: ${JWT_ISSUER:https://your-tenant.logto.app/oidc}
JwtClaimsValidator.java
import io.micronaut.security.token.Claims;
import io.micronaut.security.token.validator.TokenValidator;
import jakarta.inject.Singleton;
import org.reactivestreams.Publisher;
import reactor.core.publisher.Mono;
import java.util.Arrays;
import java.util.List;
@Singleton
public class JwtClaimsValidator implements TokenValidator {
@Override
public Publisher<Boolean> validateToken(String token, Claims claims) {
try {
verifyPayload(claims);
return Mono.just(true);
} catch (AuthorizationException e) {
// Micronaut จะจัดการรหัสสถานะ (status code) ให้เหมาะสม
return Mono.just(false);
}
}
private void verifyPayload(Claims claims) {
// การตรวจสอบผู้ออก (Issuer) จะถูกจัดการโดยอัตโนมัติด้วยการตั้งค่า JWT ของ Micronaut
// เพิ่มตรรกะการตรวจสอบเพิ่มเติมของคุณที่นี่ตามโมเดลสิทธิ์ (permission model)
// ใช้เมธอดช่วยเหลือด้านล่างสำหรับการดึงข้อมูลการอ้างสิทธิ์ (claim extraction)
// ตัวอย่าง: throw new AuthorizationException("Insufficient permissions");
}
// เมธอดช่วยเหลือสำหรับ Micronaut JWT
@SuppressWarnings("unchecked")
private List<String> extractAudiences(Claims claims) {
Object aud = claims.get("aud");
if (aud instanceof List) {
return (List<String>) aud;
} else if (aud instanceof String) {
return Arrays.asList((String) aud);
}
return List.of();
}
private String extractScopes(Claims claims) {
return (String) claims.get("scope");
}
private String extractOrganizationId(Claims claims) {
return (String) claims.get("organization_id");
}
}
เพิ่มลงใน pom.xml ของคุณ:
<dependency>
<groupId>io.vertx</groupId>
<artifactId>vertx-web</artifactId>
</dependency>
<dependency>
<groupId>io.vertx</groupId>
<artifactId>vertx-auth-jwt</artifactId>
</dependency>
<dependency>
<groupId>io.vertx</groupId>
<artifactId>vertx-web-client</artifactId>
</dependency>
JwtAuthHandler.java
import io.vertx.core.Future;
import io.vertx.core.Handler;
import io.vertx.core.Vertx;
import io.vertx.core.json.JsonArray;
import io.vertx.core.json.JsonObject;
import io.vertx.ext.auth.jwt.JWTAuth;
import io.vertx.ext.auth.jwt.JWTAuthOptions;
import io.vertx.ext.web.RoutingContext;
import io.vertx.ext.web.client.WebClient;
import java.util.List;
import java.util.ArrayList;
public class JwtAuthHandler implements Handler<RoutingContext> {
private final JWTAuth jwtAuth;
private final WebClient webClient;
private final String expectedIssuer;
private final String jwksUri;
public JwtAuthHandler(Vertx vertx) {
this.webClient = WebClient.create(vertx);
this.jwtAuth = JWTAuth.create(vertx, new JWTAuthOptions());
// อย่าลืมตั้งค่าตัวแปรสภาพแวดล้อมเหล่านี้ในระบบที่นำไปใช้งานของคุณ
this.expectedIssuer = System.getenv("JWT_ISSUER");
this.jwksUri = System.getenv("JWKS_URI");
// ดึง JWKS และกำหนดค่า JWT auth
fetchJWKS().onSuccess(jwks -> {
// กำหนดค่า JWKS (ตัวอย่างนี้เรียบง่าย - คุณอาจต้องใช้ parser JWKS ที่เหมาะสม)
});
}
@Override
public void handle(RoutingContext context) {
String authHeader = context.request().getHeader("Authorization");
if (authHeader == null || !authHeader.startsWith("Bearer ")) {
context.response()
.setStatusCode(401)
.putHeader("Content-Type", "application/json")
.end("{\"error\": \"Authorization header missing or invalid\"}"); // ไม่มีหรือ header การอนุญาตไม่ถูกต้อง
return;
}
String token = authHeader.substring(7);
jwtAuth.authenticate(new JsonObject().put("jwt", token))
.onSuccess(user -> {
try {
JsonObject principal = user.principal();
verifyPayload(principal);
context.put("auth", principal);
context.next();
} catch (AuthorizationException e) {
context.response()
.setStatusCode(e.getStatusCode()) // ใช้รหัสสถานะจาก exception
.putHeader("Content-Type", "application/json")
.end("{\"error\": \"" + e.getMessage() + "\"}");
} catch (Exception e) {
context.response()
.setStatusCode(401)
.putHeader("Content-Type", "application/json")
.end("{\"error\": \"Invalid token\"}"); // โทเค็นไม่ถูกต้อง
}
})
.onFailure(err -> {
context.response()
.setStatusCode(401)
.putHeader("Content-Type", "application/json")
.end("{\"error\": \"Invalid token: " + err.getMessage() + "\"}"); // โทเค็นไม่ถูกต้อง
});
}
private Future<JsonObject> fetchJWKS() {
return webClient.getAbs(this.jwksUri)
.send()
.map(response -> response.bodyAsJsonObject());
}
private void verifyPayload(JsonObject principal) {
// ตรวจสอบผู้ออก (issuer) ด้วยตนเองสำหรับ Vert.x
String issuer = principal.getString("iss");
if (issuer == null || !expectedIssuer.equals(issuer)) {
throw new AuthorizationException("Invalid issuer: " + issuer); // ผู้ออกไม่ถูกต้อง
}
// เพิ่มตรรกะการตรวจสอบเพิ่มเติมของคุณที่นี่ตามโมเดลสิทธิ์ (permission model)
// ใช้เมธอดช่วยเหลือด้านล่างสำหรับการดึง claim
}
// เมธอดช่วยเหลือสำหรับ Vert.x JWT
private List<String> extractAudiences(JsonObject principal) {
JsonArray audiences = principal.getJsonArray("aud");
if (audiences != null) {
List<String> result = new ArrayList<>();
for (Object aud : audiences) {
result.add(aud.toString());
}
return result;
}
return List.of();
}
private String extractScopes(JsonObject principal) {
return principal.getString("scope");
}
private String extractOrganizationId(JsonObject principal) {
return principal.getString("organization_id");
}
}
ตามโมเดลสิทธิ์ (permission model) ของคุณ ให้ดำเนินการตรรกะการตรวจสอบที่เหมาะสม:
- ทรัพยากร API ระดับโกลบอล (Global API resources)
- สิทธิ์ขององค์กร (ไม่ใช่ API) (Organization (non-API) permissions)
- ทรัพยากร API ระดับองค์กร (Organization-level API resources)
// ตรวจสอบว่า audience claim ตรงกับตัวบ่งชี้ทรัพยากร API ของคุณ
List<String> audiences = extractAudiences(token); // การดึงข้อมูลเฉพาะแต่ละเฟรมเวิร์ก
if (!audiences.contains("https://your-api-resource-indicator")) {
throw new AuthorizationException("Audience ไม่ถูกต้อง");
}
// ตรวจสอบ scope ที่จำเป็นสำหรับทรัพยากร API ระดับโกลบอล
List<String> requiredScopes = Arrays.asList("api:read", "api:write"); // แทนที่ด้วย scope ที่ต้องการจริง
String scopes = extractScopes(token); // การดึงข้อมูลเฉพาะแต่ละเฟรมเวิร์ก
List<String> tokenScopes = scopes != null ? Arrays.asList(scopes.split(" ")) : List.of();
if (!tokenScopes.containsAll(requiredScopes)) {
throw new AuthorizationException("ขอบเขตไม่เพียงพอ");
}
// ตรวจสอบว่า audience claim ตรงกับรูปแบบขององค์กร
List<String> audiences = extractAudiences(token); // การดึงข้อมูลเฉพาะแต่ละเฟรมเวิร์ก
boolean hasOrgAudience = audiences.stream()
.anyMatch(aud -> aud.startsWith("urn:logto:organization:"));
if (!hasOrgAudience) {
throw new AuthorizationException("Audience สำหรับสิทธิ์องค์กรไม่ถูกต้อง");
}
// ตรวจสอบว่า organization ID ตรงกับ context (คุณอาจต้องดึงจาก request context)
String expectedOrgId = "your-organization-id"; // ดึงจาก request context
String expectedAud = "urn:logto:organization:" + expectedOrgId;
if (!audiences.contains(expectedAud)) {
throw new AuthorizationException("Organization ID ไม่ตรงกัน");
}
// ตรวจสอบ scope ขององค์กรที่จำเป็น
List<String> requiredScopes = Arrays.asList("invite:users", "manage:settings"); // แทนที่ด้วย scope ที่ต้องการจริง
String scopes = extractScopes(token); // การดึงข้อมูลเฉพาะแต่ละเฟรมเวิร์ก
List<String> tokenScopes = scopes != null ? Arrays.asList(scopes.split(" ")) : List.of();
if (!tokenScopes.containsAll(requiredScopes)) {
throw new AuthorizationException("ขอบเขตขององค์กรไม่เพียงพอ");
}
// ตรวจสอบว่า audience claim ตรงกับตัวบ่งชี้ทรัพยากร API ของคุณ
List<String> audiences = extractAudiences(token); // การดึงข้อมูลเฉพาะแต่ละเฟรมเวิร์ก
if (!audiences.contains("https://your-api-resource-indicator")) {
throw new AuthorizationException("Audience ไม่ถูกต้องสำหรับทรัพยากร API ระดับองค์กร");
}
// ตรวจสอบว่า organization ID ตรงกับ context (คุณอาจต้องดึงจาก request context)
String expectedOrgId = "your-organization-id"; // ดึงจาก request context
String orgId = extractOrganizationId(token); // การดึงข้อมูลเฉพาะแต่ละเฟรมเวิร์ก
if (!expectedOrgId.equals(orgId)) {
throw new AuthorizationException("Organization ID ไม่ตรงกัน");
}
// ตรวจสอบ scope ที่จำเป็นสำหรับทรัพยากร API ระดับองค์กร
List<String> requiredScopes = Arrays.asList("api:read", "api:write"); // แทนที่ด้วย scope ที่ต้องการจริง
String scopes = extractScopes(token); // การดึงข้อมูลเฉพาะแต่ละเฟรมเวิร์ก
List<String> tokenScopes = scopes != null ? Arrays.asList(scopes.split(" ")) : List.of();
if (!tokenScopes.containsAll(requiredScopes)) {
throw new AuthorizationException("ขอบเขตของ API ระดับองค์กรไม่เพียงพอ");
}
เมธอดช่วยเหลือสำหรับการดึง claim ต่าง ๆ จะขึ้นอยู่กับแต่ละเฟรมเวิร์ก ดูรายละเอียดการใช้งานในไฟล์ validation เฉพาะแต่ละเฟรมเวิร์กด้านบน
เพิ่มแพ็กเกจ NuGet ที่จำเป็นสำหรับการยืนยันตัวตนด้วย JWT:
<PackageReference Include="Microsoft.AspNetCore.Authentication.JwtBearer" Version="8.0.0" />
สร้างบริการสำหรับตรวจสอบความถูกต้องของโทเค็น:
JwtValidationService.cs
using System.Security.Claims;
using Microsoft.AspNetCore.Authentication.JwtBearer;
using YourApiNamespace.Exceptions;
namespace YourApiNamespace.Services
{
public interface IJwtValidationService
{
Task ValidateTokenAsync(TokenValidatedContext context);
}
public class JwtValidationService : IJwtValidationService
{
public async Task ValidateTokenAsync(TokenValidatedContext context)
{
var principal = context.Principal!;
try
{
// เพิ่มตรรกะการตรวจสอบของคุณที่นี่ตามโมเดลสิทธิ์ (permission model)
ValidatePayload(principal);
}
catch (AuthorizationException)
{
throw; // ส่งต่อข้อยกเว้นการอนุญาต
}
catch (Exception ex)
{
throw new AuthorizationException($"Token validation failed: {ex.Message}", 401);
}
}
private void ValidatePayload(ClaimsPrincipal principal)
{
// นำตรรกะการตรวจสอบของคุณมาใช้ที่นี่ตามโมเดลสิทธิ์ (permission model)
// ตัวอย่างจะอธิบายในส่วนโมเดลสิทธิ์ด้านล่าง
}
}
}
กำหนดค่า JWT authentication ใน Program.cs ของคุณ:
Program.cs
using Microsoft.AspNetCore.Authentication.JwtBearer;
using Microsoft.IdentityModel.Tokens;
using YourApiNamespace.Services;
using YourApiNamespace.Exceptions;
var builder = WebApplication.CreateBuilder(args);
// เพิ่มบริการลงใน container
builder.Services.AddControllers();
builder.Services.AddScoped<IJwtValidationService, JwtValidationService>();
// กำหนดค่า JWT authentication
builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(options =>
{
options.Authority = AuthConstants.Issuer;
options.MetadataAddress = $"{AuthConstants.Issuer}/.well-known/openid-configuration";
options.RequireHttpsMetadata = true;
options.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = true,
ValidIssuer = AuthConstants.Issuer,
ValidateAudience = false, // เราจะตรวจสอบ audience ด้วยตนเองตาม permission model
ValidateLifetime = true,
ValidateIssuerSigningKey = true,
ClockSkew = TimeSpan.FromMinutes(5)
};
options.Events = new JwtBearerEvents
{
OnTokenValidated = async context =>
{
var validationService = context.HttpContext.RequestServices
.GetRequiredService<IJwtValidationService>();
await validationService.ValidateTokenAsync(context);
},
OnAuthenticationFailed = context =>
{
// จัดการข้อผิดพลาดของ JWT library เป็น 401
context.Response.StatusCode = 401;
context.Response.ContentType = "application/json";
context.Response.WriteAsync($"{{\"error\": \"Invalid token\"}}");
context.HandleResponse();
return Task.CompletedTask;
}
};
});
builder.Services.AddAuthorization();
var app = builder.Build();
// การจัดการข้อผิดพลาดแบบ global สำหรับการยืนยันตัวตน / การอนุญาตที่ล้มเหลว
app.Use(async (context, next) =>
{
try
{
await next();
}
catch (AuthorizationException ex)
{
context.Response.StatusCode = ex.StatusCode;
context.Response.ContentType = "application/json";
await context.Response.WriteAsync($"{{\"error\": \"{ex.Message}\"}}");
}
});
// กำหนด HTTP request pipeline
app.UseAuthentication();
app.UseAuthorization();
app.MapControllers();
app.Run();
ตามโมเดลสิทธิ์ (permission model) ของคุณ ให้นำตรรกะการตรวจสอบที่เหมาะสมมาใช้ใน JwtValidationService:
- ทรัพยากร API ระดับโกลบอล (Global API resources)
- สิทธิ์ขององค์กร (ไม่ใช่ API) (Organization (non-API) permissions)
- ทรัพยากร API ระดับองค์กร (Organization-level API resources)
JwtValidationService.cs
private void ValidatePayload(ClaimsPrincipal principal)
{
// ตรวจสอบว่า audience claim ตรงกับตัวบ่งชี้ทรัพยากร API ของคุณ
var audiences = principal.FindAll("aud").Select(c => c.Value).ToList();
if (!audiences.Contains("https://your-api-resource-indicator"))
{
throw new AuthorizationException("Invalid audience");
}
// ตรวจสอบ scope ที่จำเป็นสำหรับทรัพยากร API ระดับโกลบอล
var requiredScopes = new[] { "api:read", "api:write" }; // แทนที่ด้วย scope ที่คุณต้องการจริง
var tokenScopes = principal.FindFirst("scope")?.Value?.Split(' ') ?? Array.Empty<string>();
if (!requiredScopes.All(scope => tokenScopes.Contains(scope)))
{
throw new AuthorizationException("Insufficient scope");
}
}
JwtValidationService.cs
private void ValidatePayload(ClaimsPrincipal principal)
{
// ตรวจสอบว่า audience claim อยู่ในรูปแบบขององค์กร
var audiences = principal.FindAll("aud").Select(c => c.Value).ToList();
var hasOrgAudience = audiences.Any(aud => aud.StartsWith("urn:logto:organization:"));
if (!hasOrgAudience)
{
throw new AuthorizationException("Invalid audience for organization permissions");
}
// ตรวจสอบว่า organization ID ตรงกับ context (คุณอาจต้องดึงจาก request context)
var expectedOrgId = "your-organization-id"; // ดึงจาก request context
var expectedAud = $"urn:logto:organization:{expectedOrgId}";
if (!audiences.Contains(expectedAud))
{
throw new AuthorizationException("Organization ID mismatch");
}
// ตรวจสอบ scope ที่จำเป็นสำหรับองค์กร
var requiredScopes = new[] { "invite:users", "manage:settings" }; // แทนที่ด้วย scope ที่คุณต้องการจริง
var tokenScopes = principal.FindFirst("scope")?.Value?.Split(' ') ?? Array.Empty<string>();
if (!requiredScopes.All(scope => tokenScopes.Contains(scope)))
{
throw new AuthorizationException("Insufficient organization scope");
}
}
JwtValidationService.cs
private void ValidatePayload(ClaimsPrincipal principal)
{
// ตรวจสอบว่า audience claim ตรงกับตัวบ่งชี้ทรัพยากร API ของคุณ
var audiences = principal.FindAll("aud").Select(c => c.Value).ToList();
if (!audiences.Contains("https://your-api-resource-indicator"))
{
throw new AuthorizationException("Invalid audience for organization-level API resources");
}
// ตรวจสอบว่า organization ID ตรงกับ context (คุณอาจต้องดึงจาก request context)
var expectedOrgId = "your-organization-id"; // ดึงจาก request context
var orgId = principal.FindFirst("organization_id")?.Value;
if (!expectedOrgId.Equals(orgId))
{
throw new AuthorizationException("Organization ID mismatch");
}
// ตรวจสอบ scope ที่จำเป็นสำหรับทรัพยากร API ระดับองค์กร
var requiredScopes = new[] { "api:read", "api:write" }; // แทนที่ด้วย scope ที่คุณต้องการจริง
var tokenScopes = principal.FindFirst("scope")?.Value?.Split(' ') ?? Array.Empty<string>();
if (!requiredScopes.All(scope => tokenScopes.Contains(scope)))
{
throw new AuthorizationException("Insufficient organization-level API scopes");
}
}
เราใช้ firebase/php-jwt สำหรับตรวจสอบความถูกต้องของ JWT ติดตั้งโดยใช้ Composer:
composer require firebase/php-jwt
ก่อนอื่น เพิ่มยูทิลิตี้ที่ใช้ร่วมกันเหล่านี้เพื่อจัดการการตรวจสอบ JWT:
JwtValidator.php
<?php
use Firebase\JWT\JWT;
use Firebase\JWT\JWK;
use Firebase\JWT\Key;
class JwtValidator
{
use AuthHelpers;
private static ?array $jwks = null;
public static function fetchJwks(): array
{
if (self::$jwks === null) {
$jwksData = file_get_contents(AuthConstants::JWKS_URI);
if ($jwksData === false) {
throw new AuthorizationException('ไม่สามารถดึง JWKS ได้', 401);
}
self::$jwks = json_decode($jwksData, true);
}
return self::$jwks;
}
public static function validateJwt(string $token): array
{
try {
$jwks = self::fetchJwks();
$keys = JWK::parseKeySet($jwks);
$decoded = JWT::decode($token, $keys);
$payload = (array) $decoded;
// ตรวจสอบผู้ออก (issuer)
if (($payload['iss'] ?? '') !== AuthConstants::ISSUER) {
throw new AuthorizationException('ผู้ออกไม่ถูกต้อง', 401);
}
self::verifyPayload($payload);
return $payload;
} catch (AuthorizationException $e) {
throw $e;
} catch (Exception $e) {
throw new AuthorizationException('โทเค็นไม่ถูกต้อง: ' . $e->getMessage(), 401);
}
}
public static function createAuthInfo(array $payload): AuthInfo
{
$scopes = !empty($payload['scope']) ? explode(' ', $payload['scope']) : [];
$audience = $payload['aud'] ?? [];
if (is_string($audience)) {
$audience = [$audience];
}
return new AuthInfo(
sub: $payload['sub'],
clientId: $payload['client_id'] ?? null,
organizationId: $payload['organization_id'] ?? null,
scopes: $scopes,
audience: $audience
);
}
private static function verifyPayload(array $payload): void
{
// เพิ่มตรรกะการตรวจสอบของคุณที่นี่ตามโมเดลสิทธิ์
// ตัวอย่างจะอยู่ในส่วนโมเดลสิทธิ์ด้านล่าง
}
}
จากนั้น ให้สร้างมิดเดิลแวร์เพื่อตรวจสอบ access token:
- Laravel
- Symfony
- Slim
app/Http/Middleware/VerifyAccessToken.php
<?php
namespace App\Http\Middleware;
use Closure;
use Illuminate\Http\Request;
use Illuminate\Http\Response;
class VerifyAccessToken
{
use AuthHelpers;
public function handle(Request $request, Closure $next): Response
{
try {
$token = $this->extractBearerToken($request->headers->all());
$payload = JwtValidator::validateJwt($token);
// จัดเก็บข้อมูลการยืนยันตัวตนใน attributes ของ request เพื่อใช้งานทั่วไป
$request->attributes->set('auth', JwtValidator::createAuthInfo($payload));
return $next($request);
} catch (AuthorizationException $e) {
return response()->json(['error' => $e->getMessage()], $e->statusCode);
}
}
}
ลงทะเบียน middleware ใน app/Http/Kernel.php:
app/Http/Kernel.php
protected $middlewareAliases = [
// ... มิดเดิลแวร์อื่น ๆ
'auth.token' => \App\Http\Middleware\VerifyAccessToken::class,
];
src/Security/JwtAuthenticator.php
<?php
namespace App\Security;
use Symfony\Component\HttpFoundation\JsonResponse;
use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\HttpFoundation\Response;
use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
use Symfony\Component\Security\Core\Exception\AuthenticationException;
use Symfony\Component\Security\Http\Authenticator\AbstractAuthenticator;
use Symfony\Component\Security\Http\Authenticator\Passport\Badge\UserBadge;
use Symfony\Component\Security\Http\Authenticator\Passport\Passport;
use Symfony\Component\Security\Http\Authenticator\Passport\SelfValidatingPassport;
class JwtAuthenticator extends AbstractAuthenticator
{
use AuthHelpers;
public function supports(Request $request): ?bool
{
return $request->headers->has('authorization');
}
public function authenticate(Request $request): Passport
{
try {
$token = $this->extractBearerToken($request->headers->all());
$payload = JwtValidator::validateJwt($token);
$authInfo = JwtValidator::createAuthInfo($payload);
// เก็บข้อมูล auth ใน attributes ของ request เพื่อใช้งานทั่วไป
$request->attributes->set('auth', $authInfo);
return new SelfValidatingPassport(new UserBadge($payload['sub']));
} catch (AuthorizationException $e) {
throw new AuthenticationException($e->getMessage());
}
}
public function onAuthenticationSuccess(Request $request, TokenInterface $token, string $firewallName): ?Response
{
return null; // ดำเนินการต่อไปยัง controller
}
public function onAuthenticationFailure(Request $request, AuthenticationException $exception): ?Response
{
return new JsonResponse(['error' => $exception->getMessage()], Response::HTTP_UNAUTHORIZED);
}
}
กำหนดค่าความปลอดภัยใน config/packages/security.yaml:
config/packages/security.yaml
security:
firewalls:
api:
pattern: ^/api/protected
stateless: true
custom_authenticators:
- App\Security\JwtAuthenticator
src/Middleware/JwtMiddleware.php
<?php
namespace App\Middleware;
use Psr\Http\Message\ResponseInterface;
use Psr\Http\Message\ServerRequestInterface;
use Psr\Http\Server\MiddlewareInterface;
use Psr\Http\Server\RequestHandlerInterface;
use Slim\Psr7\Response;
class JwtMiddleware implements MiddlewareInterface
{
use AuthHelpers;
public function process(ServerRequestInterface $request, RequestHandlerInterface $handler): ResponseInterface
{
try {
$headers = $request->getHeaders();
$token = $this->extractBearerToken($headers);
$payload = JwtValidator::validateJwt($token);
// เก็บข้อมูลการยืนยันตัวตนใน attribute ของ request เพื่อใช้งานทั่วไป
$request = $request->withAttribute('auth', JwtValidator::createAuthInfo($payload));
return $handler->handle($request);
} catch (AuthorizationException $e) {
$response = new Response();
$response->getBody()->write(json_encode(['error' => $e->getMessage()]));
return $response
->withHeader('Content-Type', 'application/json')
->withStatus($e->statusCode);
}
}
}
ตามโมเดลสิทธิ์ของคุณ ให้เพิ่มตรรกะการตรวจสอบที่เหมาะสมใน JwtValidator:
- ทรัพยากร API ระดับโกลบอล
- สิทธิ์ขององค์กร (ไม่ใช่ API)
- ทรัพยากร API ระดับองค์กร
JwtValidator.php
private static function verifyPayload(array $payload): void
{
// ตรวจสอบการอ้างสิทธิ์ผู้รับ (audience claim) ให้ตรงกับตัวบ่งชี้ทรัพยากร API ของคุณ
$audiences = $payload['aud'] ?? [];
if (is_string($audiences)) {
$audiences = [$audiences];
}
if (!in_array('https://your-api-resource-indicator', $audiences)) {
throw new AuthorizationException('ผู้รับไม่ถูกต้อง');
}
// ตรวจสอบขอบเขตที่จำเป็นสำหรับทรัพยากร API ระดับโกลบอล
$requiredScopes = ['api:read', 'api:write']; // เปลี่ยนเป็นขอบเขตที่คุณต้องการจริง
$scopes = !empty($payload['scope']) ? explode(' ', $payload['scope']) : [];
foreach ($requiredScopes as $scope) {
if (!in_array($scope, $scopes)) {
throw new AuthorizationException('ขอบเขตไม่เพียงพอ');
}
}
}
JwtValidator.php
private static function verifyPayload(array $payload): void
{
// ตรวจสอบการอ้างสิทธิ์ผู้รับให้ตรงกับรูปแบบขององค์กร
$audiences = $payload['aud'] ?? [];
if (is_string($audiences)) {
$audiences = [$audiences];
}
$hasOrgAudience = false;
foreach ($audiences as $aud) {
if (str_starts_with($aud, 'urn:logto:organization:')) {
$hasOrgAudience = true;
break;
}
}
if (!$hasOrgAudience) {
throw new AuthorizationException('ผู้รับไม่ถูกต้องสำหรับสิทธิ์ขององค์กร');
}
// ตรวจสอบว่า organization ID ตรงกับ context (คุณอาจต้องดึงจาก request context)
$expectedOrgId = 'your-organization-id'; // ดึงจาก request context
$expectedAud = "urn:logto:organization:{$expectedOrgId}";
if (!in_array($expectedAud, $audiences)) {
throw new AuthorizationException('Organization ID ไม่ตรงกัน');
}
// ตรวจสอบขอบเขตที่จำเป็นขององค์กร
$requiredScopes = ['invite:users', 'manage:settings']; // เปลี่ยนเป็นขอบเขตที่คุณต้องการจริง
$scopes = !empty($payload['scope']) ? explode(' ', $payload['scope']) : [];
foreach ($requiredScopes as $scope) {
if (!in_array($scope, $scopes)) {
throw new AuthorizationException('ขอบเขตขององค์กรไม่เพียงพอ');
}
}
}
JwtValidator.php
private static function verifyPayload(array $payload): void
{
// ตรวจสอบการอ้างสิทธิ์ผู้รับให้ตรงกับตัวบ่งชี้ทรัพยากร API ของคุณ
$audiences = $payload['aud'] ?? [];
if (is_string($audiences)) {
$audiences = [$audiences];
}
if (!in_array('https://your-api-resource-indicator', $audiences)) {
throw new AuthorizationException('ผู้รับไม่ถูกต้องสำหรับทรัพยากร API ระดับองค์กร');
}
// ตรวจสอบว่า organization ID ตรงกับ context (คุณอาจต้องดึงจาก request context)
$expectedOrgId = 'your-organization-id'; // ดึงจาก request context
$orgId = $payload['organization_id'] ?? null;
if ($expectedOrgId !== $orgId) {
throw new AuthorizationException('Organization ID ไม่ตรงกัน');
}
// ตรวจสอบขอบเขตที่จำเป็นสำหรับทรัพยากร API ระดับองค์กร
$requiredScopes = ['api:read', 'api:write']; // เปลี่ยนเป็นขอบเขตที่คุณต้องการจริง
$scopes = !empty($payload['scope']) ? explode(' ', $payload['scope']) : [];
foreach ($requiredScopes as $scope) {
if (!in_array($scope, $scopes)) {
throw new AuthorizationException('ขอบเขตของทรัพยากร API ระดับองค์กรไม่เพียงพอ');
}
}
}
เราใช้ jwt gem สำหรับตรวจสอบความถูกต้องของ JWT เพิ่ม gem นี้ลงใน Gemfile ของคุณ:
Gemfile
gem 'jwt'
# net-http เป็นส่วนหนึ่งของ Ruby standard library ตั้งแต่ Ruby 2.7 ไม่จำเป็นต้องเพิ่มแยกต่างหาก
จากนั้นรัน:
bundle install
ก่อนอื่น เพิ่ม utilities ที่ใช้ร่วมกันเหล่านี้เพื่อจัดการ JWKS และการตรวจสอบโทเค็น:
jwt_validator.rb
require 'jwt'
require 'net/http'
require 'json'
class JwtValidator
include AuthHelpers
def self.fetch_jwks
@jwks ||= begin
uri = URI(AuthConstants::JWKS_URI)
response = Net::HTTP.get_response(uri)
raise AuthorizationError.new('ไม่สามารถดึง JWKS ได้', 401) unless response.is_a?(Net::HTTPSuccess)
jwks_data = JSON.parse(response.body)
JWT::JWK::Set.new(jwks_data)
end
end
def self.validate_jwt(token)
jwks = fetch_jwks
# ให้ไลบรารี JWT จัดการตรวจจับอัลกอริทึมจาก JWKS
decoded_token = JWT.decode(token, nil, true, {
iss: AuthConstants::ISSUER,
verify_iss: true,
verify_aud: false, # เราจะตรวจสอบ audience ด้วยตนเองตาม permission model
jwks: jwks
})[0]
verify_payload(decoded_token)
decoded_token
end
def self.create_auth_info(payload)
scopes = payload['scope']&.split(' ') || []
audience = payload['aud'] || []
AuthInfo.new(
payload['sub'],
payload['client_id'],
payload['organization_id'],
scopes,
audience
)
end
def self.verify_payload(payload)
# เพิ่มตรรกะการตรวจสอบของคุณที่นี่ตาม permission model
# ตัวอย่างจะอยู่ในหัวข้อ permission models ด้านล่าง
end
end
จากนั้น สร้าง middleware เพื่อตรวจสอบ access token:
- Ruby on Rails
- Sinatra
- Grape
app/controllers/concerns/jwt_authentication.rb
module JwtAuthentication
extend ActiveSupport::Concern
include AuthHelpers
included do
before_action :verify_access_token, only: [:protected_action] # เพิ่ม action ที่ต้องการ
end
private
def verify_access_token
begin
token = extract_bearer_token(request)
decoded_token = JwtValidator.validate_jwt(token)
# เก็บข้อมูล auth สำหรับใช้งานทั่วไป
@auth = JwtValidator.create_auth_info(decoded_token)
rescue AuthorizationError => e
render json: { error: e.message }, status: e.status
rescue JWT::DecodeError, JWT::VerificationError, JWT::ExpiredSignature => e
render json: { error: 'โทเค็นไม่ถูกต้อง' }, status: 401
end
end
end
auth_middleware.rb
class AuthMiddleware
include AuthHelpers
def initialize(app)
@app = app
end
def call(env)
request = Rack::Request.new(env)
# ปกป้องเฉพาะเส้นทางที่ระบุเท่านั้น
if request.path.start_with?('/api/protected')
begin
token = extract_bearer_token(request)
decoded_token = JwtValidator.validate_jwt(token)
# เก็บข้อมูลการยืนยันตัวตนใน env เพื่อใช้งานทั่วไป
env['auth'] = JwtValidator.create_auth_info(decoded_token)
rescue AuthorizationError => e
return [e.status, { 'Content-Type' => 'application/json' }, [{ error: e.message }.to_json]]
rescue JWT::DecodeError, JWT::VerificationError, JWT::ExpiredSignature => e
return [401, { 'Content-Type' => 'application/json' }, [{ error: 'Invalid token' }.to_json]]
end
end
@app.call(env)
end
end
auth_helpers.rb
module GrapeAuthHelpers
include AuthHelpers
def authenticate_user!
begin
token = extract_bearer_token(request)
decoded_token = JwtValidator.validate_jwt(token)
# เก็บข้อมูลการยืนยันตัวตนเพื่อใช้งานทั่วไป
@auth = JwtValidator.create_auth_info(decoded_token)
rescue AuthorizationError => e
error!({ error: e.message }, e.status)
rescue JWT::DecodeError, JWT::VerificationError, JWT::ExpiredSignature => e
error!({ error: 'โทเค็นไม่ถูกต้อง' }, 401)
end
end
def auth
@auth
end
end
ตาม permission model ของคุณ ให้เพิ่มตรรกะการตรวจสอบที่เหมาะสมใน JwtValidator:
- ทรัพยากร API ระดับโกลบอล (Global API resources)
- สิทธิ์ขององค์กร (ไม่ใช่ API) (Organization (non-API) permissions)
- ทรัพยากร API ระดับองค์กร (Organization-level API resources)
jwt_validator.rb
def self.verify_payload(payload)
# ตรวจสอบว่า audience claim ตรงกับตัวบ่งชี้ทรัพยากร API ของคุณ
audiences = payload['aud'] || []
unless audiences.include?('https://your-api-resource-indicator')
raise AuthorizationError.new('Audience ไม่ถูกต้อง')
end
# ตรวจสอบ scope ที่จำเป็นสำหรับทรัพยากร API ระดับโกลบอล
required_scopes = ['api:read', 'api:write'] # เปลี่ยนเป็น scope ที่คุณต้องการจริง
token_scopes = payload['scope']&.split(' ') || []
unless required_scopes.all? { |scope| token_scopes.include?(scope) }
raise AuthorizationError.new('Scope ไม่เพียงพอ')
end
end
jwt_validator.rb
def self.verify_payload(payload)
# ตรวจสอบว่า audience claim อยู่ในรูปแบบขององค์กร
audiences = payload['aud'] || []
has_org_audience = audiences.any? { |aud| aud.start_with?('urn:logto:organization:') }
unless has_org_audience
raise AuthorizationError.new('Audience สำหรับสิทธิ์องค์กรไม่ถูกต้อง')
end
# ตรวจสอบว่า organization ID ตรงกับ context (คุณอาจต้องดึงจาก request context)
expected_org_id = 'your-organization-id' # ดึงจาก request context
expected_aud = "urn:logto:organization:#{expected_org_id}"
unless audiences.include?(expected_aud)
raise AuthorizationError.new('Organization ID ไม่ตรงกัน')
end
# ตรวจสอบ scope ที่จำเป็นสำหรับสิทธิ์องค์กร
required_scopes = ['invite:users', 'manage:settings'] # เปลี่ยนเป็น scope ที่คุณต้องการจริง
token_scopes = payload['scope']&.split(' ') || []
unless required_scopes.all? { |scope| token_scopes.include?(scope) }
raise AuthorizationError.new('Scope ขององค์กรไม่เพียงพอ')
end
end
jwt_validator.rb
def self.verify_payload(payload)
# ตรวจสอบว่า audience claim ตรงกับตัวบ่งชี้ทรัพยากร API ของคุณ
audiences = payload['aud'] || []
unless audiences.include?('https://your-api-resource-indicator')
raise AuthorizationError.new('Audience สำหรับทรัพยากร API ระดับองค์กรไม่ถูกต้อง')
end
# ตรวจสอบว่า organization ID ตรงกับ context (คุณอาจต้องดึงจาก request context)
expected_org_id = 'your-organization-id' # ดึงจาก request context
org_id = payload['organization_id']
unless expected_org_id == org_id
raise AuthorizationError.new('Organization ID ไม่ตรงกัน')
end
# ตรวจสอบ scope ที่จำเป็นสำหรับทรัพยากร API ระดับองค์กร
required_scopes = ['api:read', 'api:write'] # เปลี่ยนเป็น scope ที่คุณต้องการจริง
token_scopes = payload['scope']&.split(' ') || []
unless required_scopes.all? { |scope| token_scopes.include?(scope) }
raise AuthorizationError.new('Scope สำหรับทรัพยากร API ระดับองค์กรไม่เพียงพอ')
end
end
เราใช้ jsonwebtoken สำหรับตรวจสอบความถูกต้องของ JWT เพิ่ม dependencies ที่จำเป็นลงใน Cargo.toml ของคุณ:
Cargo.toml
[dependencies]
jsonwebtoken = "9.0"
serde = { version = "1.0", features = ["derive"] }
serde_json = "1.0"
reqwest = { version = "0.11", features = ["json"] }
tokio = { version = "1.0", features = ["full"] }
ก่อนอื่น เพิ่ม utilities ที่ใช้ร่วมกันเหล่านี้เพื่อจัดการการตรวจสอบ JWT:
jwt_validator.rs
use crate::{AuthInfo, AuthorizationError, ISSUER, JWKS_URI};
use jsonwebtoken::{decode, decode_header, Algorithm, DecodingKey, Validation};
use serde_json::Value;
use std::collections::HashMap;
// โครงสร้างสำหรับตรวจสอบ JWT
pub struct JwtValidator {
jwks: HashMap<String, DecodingKey>,
}
impl JwtValidator {
pub async fn new() -> Result<Self, AuthorizationError> {
let jwks = Self::fetch_jwks().await?;
Ok(Self { jwks })
}
async fn fetch_jwks() -> Result<HashMap<String, DecodingKey>, AuthorizationError> {
let response = reqwest::get(JWKS_URI).await.map_err(|e| {
AuthorizationError::with_status(format!("ไม่สามารถดึง JWKS: {}", e), 401)
})?;
let jwks: Value = response.json().await.map_err(|e| {
AuthorizationError::with_status(format!("ไม่สามารถแปลง JWKS: {}", e), 401)
})?;
let mut keys = HashMap::new();
if let Some(keys_array) = jwks["keys"].as_array() {
for key in keys_array {
if let (Some(kid), Some(kty), Some(n), Some(e)) = (
key["kid"].as_str(),
key["kty"].as_str(),
key["n"].as_str(),
key["e"].as_str(),
) {
if kty == "RSA" {
if let Ok(decoding_key) = DecodingKey::from_rsa_components(n, e) {
keys.insert(kid.to_string(), decoding_key);
}
}
}
}
}
if keys.is_empty() {
return Err(AuthorizationError::with_status("ไม่พบคีย์ที่ถูกต้องใน JWKS", 401));
}
Ok(keys)
}
pub fn validate_jwt(&self, token: &str) -> Result<AuthInfo, AuthorizationError> {
let header = decode_header(token).map_err(|e| {
AuthorizationError::with_status(format!("ส่วนหัวของโทเค็นไม่ถูกต้อง: {}", e), 401)
})?;
let kid = header.kid.ok_or_else(|| {
AuthorizationError::with_status("โทเค็นไม่มี kid claim", 401)
})?;
let key = self.jwks.get(&kid).ok_or_else(|| {
AuthorizationError::with_status("ไม่รู้จัก key ID", 401)
})?;
let mut validation = Validation::new(Algorithm::RS256);
validation.set_issuer(&[ISSUER]);
validation.validate_aud = false; // เราจะตรวจสอบ audience ด้วยตนเอง
let token_data = decode::<Value>(token, key, &validation).map_err(|e| {
AuthorizationError::with_status(format!("โทเค็นไม่ถูกต้อง: {}", e), 401)
})?;
let claims = token_data.claims;
self.verify_payload(&claims)?;
Ok(self.create_auth_info(claims))
}
fn verify_payload(&self, claims: &Value) -> Result<(), AuthorizationError> {
// เพิ่มตรรกะการตรวจสอบของคุณที่นี่ตามโมเดลสิทธิ์
// ตัวอย่างจะอยู่ในส่วน permission models ด้านล่าง
Ok(())
}
fn create_auth_info(&self, claims: Value) -> AuthInfo {
let scopes = claims["scope"]
.as_str()
.map(|s| s.split(' ').map(|s| s.to_string()).collect())
.unwrap_or_default();
let audience = match &claims["aud"] {
Value::Array(arr) => arr.iter().filter_map(|v| v.as_str().map(|s| s.to_string())).collect(),
Value::String(s) => vec![s.clone()],
_ => vec![],
};
AuthInfo::new(
claims["sub"].as_str().unwrap_or_default().to_string(),
claims["client_id"].as_str().map(|s| s.to_string()),
claims["organization_id"].as_str().map(|s| s.to_string()),
scopes,
audience,
)
}
}
จากนั้น สร้าง middleware เพื่อตรวจสอบโทเค็นการเข้าถึง (access token):
- Axum
- Actix Web
- Rocket
middleware.rs
use crate::{AuthInfo, AuthorizationError, extract_bearer_token};
use crate::jwt_validator::JwtValidator;
use axum::{
extract::Request,
http::{HeaderMap, StatusCode},
middleware::Next,
response::{IntoResponse, Response},
Extension, Json,
};
use serde_json::json;
use std::sync::Arc;
// มิดเดิลแวร์สำหรับตรวจสอบ JWT ในแต่ละคำขอ
pub async fn jwt_middleware(
Extension(validator): Extension<Arc<JwtValidator>>,
headers: HeaderMap,
mut request: Request,
next: Next,
) -> Result<Response, AuthorizationError> {
let authorization = headers
.get("authorization")
.and_then(|h| h.to_str().ok());
let token = extract_bearer_token(authorization)?;
let auth_info = validator.validate_jwt(token)?;
// เก็บข้อมูลการยืนยันตัวตน (auth info) ลงใน extensions ของ request เพื่อใช้งานทั่วไป
request.extensions_mut().insert(auth_info);
Ok(next.run(request).await)
}
// แปลงข้อผิดพลาด AuthorizationError เป็น HTTP response
impl IntoResponse for AuthorizationError {
fn into_response(self) -> Response {
let status = StatusCode::from_u16(self.status_code).unwrap_or(StatusCode::FORBIDDEN);
(status, Json(json!({ "error": self.message }))).into_response()
}
}
middleware.rs
use crate::{AuthInfo, AuthorizationError, extract_bearer_token};
use crate::jwt_validator::JwtValidator;
use actix_web::{
dev::{forward_ready, Service, ServiceRequest, ServiceResponse, Transform},
web, Error, HttpMessage, HttpResponse,
};
use futures::future::{ok, Ready};
use std::sync::Arc;
pub struct JwtMiddleware {
validator: Arc<JwtValidator>,
}
impl JwtMiddleware {
pub fn new(validator: Arc<JwtValidator>) -> Self {
Self { validator }
}
}
impl<S, B> Transform<S, ServiceRequest> for JwtMiddleware
where
S: Service<ServiceRequest, Response = ServiceResponse<B>, Error = Error>,
S::Future: 'static,
B: 'static,
{
type Response = ServiceResponse<B>;
type Error = Error;
type InitError = ();
type Transform = JwtMiddlewareService<S>;
type Future = Ready<Result<Self::Transform, Self::InitError>>;
fn new_transform(&self, service: S) -> Self::Future {
ok(JwtMiddlewareService {
service,
validator: self.validator.clone(),
})
}
}
pub struct JwtMiddlewareService<S> {
service: S,
validator: Arc<JwtValidator>,
}
impl<S, B> Service<ServiceRequest> for JwtMiddlewareService<S>
where
S: Service<ServiceRequest, Response = ServiceResponse<B>, Error = Error>,
S::Future: 'static,
B: 'static,
{
type Response = ServiceResponse<B>;
type Error = Error;
type Future = futures::future::LocalBoxFuture<'static, Result<Self::Response, Self::Error>>;
forward_ready!(service);
fn call(&self, req: ServiceRequest) -> Self::Future {
let validator = self.validator.clone();
Box::pin(async move {
let authorization = req
.headers()
.get("authorization")
.and_then(|h| h.to_str().ok());
match extract_bearer_token(authorization)
.and_then(|token| validator.validate_jwt(token))
{
Ok(auth_info) => {
// เก็บข้อมูลการยืนยันตัวตน (auth info) ลงใน extensions ของ request เพื่อใช้งานทั่วไป
req.extensions_mut().insert(auth_info);
let fut = self.service.call(req);
fut.await
}
Err(e) => {
let response = HttpResponse::build(
actix_web::http::StatusCode::from_u16(e.status_code)
.unwrap_or(actix_web::http::StatusCode::FORBIDDEN),
)
.json(serde_json::json!({ "error": e.message }));
Ok(req.into_response(response))
}
}
})
}
}
guards.rs
use crate::{AuthInfo, AuthorizationError, extract_bearer_token};
use crate::jwt_validator::JwtValidator;
use rocket::{
http::Status,
outcome::Outcome,
request::{self, FromRequest, Request},
State,
};
#[rocket::async_trait]
impl<'r> FromRequest<'r> for AuthInfo {
type Error = AuthorizationError;
async fn from_request(req: &'r Request<'_>) -> request::Outcome<Self, Self::Error> {
let validator = match req.guard::<&State<JwtValidator>>().await {
Outcome::Success(validator) => validator,
Outcome::Failure((status, _)) => {
// ไม่พบ JWT validator
return Outcome::Failure((
status,
AuthorizationError::with_status("JWT validator not found", 500),
))
}
Outcome::Forward(()) => {
return Outcome::Forward(())
}
};
let authorization = req.headers().get_one("authorization");
match extract_bearer_token(authorization)
.and_then(|token| validator.validate_jwt(token))
{
Ok(auth_info) => Outcome::Success(auth_info),
Err(e) => {
let status = Status::from_code(e.status_code).unwrap_or(Status::Forbidden);
Outcome::Failure((status, e))
}
}
}
}
ตามโมเดลสิทธิ์ของคุณ ให้เพิ่มตรรกะการตรวจสอบที่เหมาะสมใน JwtValidator:
- ทรัพยากร API ระดับโกลบอล
- สิทธิ์ขององค์กร (ไม่ใช่ API)
- ทรัพยากร API ระดับองค์กร
jwt_validator.rs
fn verify_payload(&self, claims: &Value) -> Result<(), AuthorizationError> {
// ตรวจสอบว่า audience claim ตรงกับตัวบ่งชี้ทรัพยากร API ของคุณ
let audiences = match &claims["aud"] {
Value::Array(arr) => arr.iter().filter_map(|v| v.as_str()).collect::<Vec<_>>(),
Value::String(s) => vec![s.as_str()],
_ => vec![],
};
if !audiences.contains(&"https://your-api-resource-indicator") {
return Err(AuthorizationError::new("audience ไม่ถูกต้อง"));
}
// ตรวจสอบ scope ที่จำเป็นสำหรับทรัพยากร API ระดับโกลบอล
let required_scopes = vec!["api:read", "api:write"]; // แทนที่ด้วย scope ที่คุณต้องการจริง
let scopes = claims["scope"]
.as_str()
.map(|s| s.split(' ').collect::<Vec<_>>())
.unwrap_or_default();
for required_scope in &required_scopes {
if !scopes.contains(required_scope) {
return Err(AuthorizationError::new("scope ไม่เพียงพอ"));
}
}
Ok(())
}
jwt_validator.rs
fn verify_payload(&self, claims: &Value) -> Result<(), AuthorizationError> {
// ตรวจสอบว่า audience claim อยู่ในรูปแบบขององค์กร
let audiences = match &claims["aud"] {
Value::Array(arr) => arr.iter().filter_map(|v| v.as_str()).collect::<Vec<_>>(),
Value::String(s) => vec![s.as_str()],
_ => vec![],
};
let has_org_audience = audiences.iter().any(|aud| aud.starts_with("urn:logto:organization:"));
if !has_org_audience {
return Err(AuthorizationError::new("audience สำหรับสิทธิ์องค์กรไม่ถูกต้อง"));
}
// ตรวจสอบว่า organization ID ตรงกับ context (คุณอาจต้องดึงจาก request context)
let expected_org_id = "your-organization-id"; // ดึงจาก request context
let expected_aud = format!("urn:logto:organization:{}", expected_org_id);
if !audiences.contains(&expected_aud.as_str()) {
return Err(AuthorizationError::new("Organization ID ไม่ตรงกัน"));
}
// ตรวจสอบ scope ที่จำเป็นสำหรับองค์กร
let required_scopes = vec!["invite:users", "manage:settings"]; // แทนที่ด้วย scope ที่คุณต้องการจริง
let scopes = claims["scope"]
.as_str()
.map(|s| s.split(' ').collect::<Vec<_>>())
.unwrap_or_default();
for required_scope in &required_scopes {
if !scopes.contains(required_scope) {
return Err(AuthorizationError::new("scope ขององค์กรไม่เพียงพอ"));
}
}
Ok(())
}
jwt_validator.rs
fn verify_payload(&self, claims: &Value) -> Result<(), AuthorizationError> {
// ตรวจสอบว่า audience claim ตรงกับตัวบ่งชี้ทรัพยากร API ของคุณ
let audiences = match &claims["aud"] {
Value::Array(arr) => arr.iter().filter_map(|v| v.as_str()).collect::<Vec<_>>(),
Value::String(s) => vec![s.as_str()],
_ => vec![],
};
if !audiences.contains(&"https://your-api-resource-indicator") {
return Err(AuthorizationError::new("audience ไม่ถูกต้องสำหรับทรัพยากร API ระดับองค์กร"));
}
// ตรวจสอบว่า organization ID ตรงกับ context (คุณอาจต้องดึงจาก request context)
let expected_org_id = "your-organization-id"; // ดึงจาก request context
let org_id = claims["organization_id"].as_str().unwrap_or_default();
if expected_org_id != org_id {
return Err(AuthorizationError::new("Organization ID ไม่ตรงกัน"));
}
// ตรวจสอบ scope ที่จำเป็นสำหรับทรัพยากร API ระดับองค์กร
let required_scopes = vec!["api:read", "api:write"]; // แทนที่ด้วย scope ที่คุณต้องการจริง
let scopes = claims["scope"]
.as_str()
.map(|s| s.split(' ').collect::<Vec<_>>())
.unwrap_or_default();
for required_scope in &required_scopes {
if !scopes.contains(required_scope) {
return Err(AuthorizationError::new("scope สำหรับทรัพยากร API ระดับองค์กรไม่เพียงพอ"));
}
}
Ok(())
}
ขั้นตอนที่ 4: นำ middleware ไปใช้กับ API ของคุณ
นำ middleware ไปใช้กับเส้นทาง API ที่คุณต้องการปกป้อง
- Node.js
- Python
- Go
- Java
- .NET
- PHP
- Ruby
- Rust
- Express.js
- Koa.js
- Fastify
- Hapi.js
- NestJS
app.ts
import { verifyAccessToken } from './auth-middleware.js';
app.get('/api/protected', verifyAccessToken, (req, res) => {
// เข้าถึงข้อมูลการยืนยันตัวตน (auth) ได้โดยตรงจาก req.auth
res.json({ auth: req.auth });
});
app.ts
import Router from '@koa/router';
import { koaVerifyAccessToken } from './auth-middleware.js';
const router = new Router();
router.get('/api/protected', koaVerifyAccessToken, (ctx) => {
// เข้าถึงข้อมูลการยืนยันตัวตน (auth) ได้โดยตรงจาก ctx.state.auth
ctx.body = { auth: ctx.state.auth };
});
app.use(router.routes());
app.ts
import { fastifyVerifyAccessToken } from './auth-middleware.js';
server.get('/api/protected', { preHandler: fastifyVerifyAccessToken }, (request, reply) => {
// เข้าถึงข้อมูลการยืนยันตัวตน (auth) ได้โดยตรงจาก request.auth
reply.send({ auth: request.auth });
});
app.ts
import { hapiVerifyAccessToken } from './auth-middleware.js';
server.route({
method: 'GET',
path: '/api/protected',
options: {
pre: [{ method: hapiVerifyAccessToken }],
handler: (request, h) => {
// เข้าถึงข้อมูลการยืนยันตัวตนจาก request.app.auth
return { auth: request.app.auth };
},
},
});
protected.controller.ts
import { Controller, Get, UseGuards, Req } from '@nestjs/common';
import { AccessTokenGuard } from './access-token.guard.js';
@Controller('api')
export class ProtectedController {
@Get('protected')
@UseGuards(AccessTokenGuard)
getProtected(@Req() req: any) {
// เข้าถึงข้อมูลการยืนยันตัวตนจาก req.auth
return { auth: req.auth };
}
}
- FastAPI
- Flask
- Django
- Django REST Framework
app.py
from fastapi import FastAPI, Depends
from auth_middleware import verify_access_token, AuthInfo
app = FastAPI()
@app.get("/api/protected")
async def protected_endpoint(auth: AuthInfo = Depends(verify_access_token)):
# เข้าถึงข้อมูลการยืนยันตัวตน (auth) ได้โดยตรงจากพารามิเตอร์ auth
return {"auth": auth.to_dict()}
app.py
from flask import Flask, g, jsonify
from auth_middleware import verify_access_token
app = Flask(__name__)
@app.route('/api/protected', methods=['GET'])
@verify_access_token
def protected_endpoint():
# เข้าถึงข้อมูลการยืนยันตัวตนจาก g.auth
return jsonify({"auth": g.auth.to_dict()})
views.py
from django.http import JsonResponse
from auth_middleware import require_access_token
@require_access_token
def protected_view(request):
# เข้าถึงข้อมูลการยืนยันตัวตนจาก request.auth
return JsonResponse({"auth": request.auth.to_dict()})
urls.py
from django.urls import path
from . import views
urlpatterns = [
path('api/protected/', views.protected_view, name='protected'),
]
views.py
from rest_framework.decorators import api_view, authentication_classes
from rest_framework.response import Response
from auth_middleware import AccessTokenAuthentication
@api_view(['GET'])
@authentication_classes([AccessTokenAuthentication])
def protected_view(request):
# เข้าถึงข้อมูลการยืนยันตัวตนจาก request.user.auth
return Response({"auth": request.user.auth.to_dict()})
หรือใช้ class-based views:
views.py
from rest_framework.views import APIView
from rest_framework.response import Response
from auth_middleware import AccessTokenAuthentication
class ProtectedView(APIView):
authentication_classes = [AccessTokenAuthentication]
def get(self, request):
# เข้าถึงข้อมูลการยืนยันตัวตนจาก request.user.auth
return Response({"auth": request.user.auth.to_dict()})
urls.py
from django.urls import path
from . import views
urlpatterns = [
path('api/protected/', views.protected_view, name='protected'),
# หรือสำหรับ class-based views:
# path('api/protected/', views.ProtectedView.as_view(), name='protected'),
]
- Gin
- Echo
- Fiber
- Chi
main.go
package main
import (
"net/http"
"github.com/gin-gonic/gin"
"github.com/lestrrat-go/jwx/v3/jwt"
)
func main() {
r := gin.Default()
// ใช้งาน middleware กับเส้นทางที่ต้องการป้องกัน
r.GET("/api/protected", VerifyAccessToken(), func(c *gin.Context) {
// ข้อมูลโทเค็นการเข้าถึง (Access token) สามารถดึงได้โดยตรงจาก context
tokenInterface, exists := c.Get("auth")
if !exists {
c.JSON(http.StatusInternalServerError, gin.H{"error": "ไม่พบโทเค็น"})
return
}
token := tokenInterface.(jwt.Token)
c.JSON(http.StatusOK, gin.H{
"sub": token.Subject(),
"client_id": getStringClaim(token, "client_id"),
"organization_id": getStringClaim(token, "organization_id"),
"scopes": getScopesFromToken(token),
"audience": getAudienceFromToken(token),
})
})
r.Run(":8080")
}
main.go
package main
import (
"net/http"
"github.com/labstack/echo/v4"
"github.com/lestrrat-go/jwx/v3/jwt"
)
func main() {
e := echo.New()
// ใช้งาน middleware กับเส้นทางที่ต้องการป้องกัน
e.GET("/api/protected", func(c echo.Context) error {
// ข้อมูลโทเค็นการเข้าถึง (Access token) สามารถเข้าถึงได้โดยตรงจาก context
tokenInterface := c.Get("auth")
if tokenInterface == nil {
return c.JSON(http.StatusInternalServerError, echo.Map{"error": "Token not found"})
}
token := tokenInterface.(jwt.Token)
return c.JSON(http.StatusOK, echo.Map{
"sub": token.Subject(),
"client_id": getStringClaim(token, "client_id"),
"organization_id": getStringClaim(token, "organization_id"),
"scopes": getScopesFromToken(token),
"audience": getAudienceFromToken(token),
})
}, VerifyAccessToken)
e.Start(":8080")
}
หรือใช้กลุ่มเส้นทาง (route groups):
main.go
package main
import (
"github.com/labstack/echo/v4"
"github.com/lestrrat-go/jwx/v3/jwt"
)
func main() {
e := echo.New()
// สร้างกลุ่มเส้นทางที่ต้องการป้องกัน
api := e.Group("/api", VerifyAccessToken)
api.GET("/protected", func(c echo.Context) error {
// ข้อมูลโทเค็นการเข้าถึง (Access token) สามารถเข้าถึงได้โดยตรงจาก context
token := c.Get("auth").(jwt.Token)
return c.JSON(200, echo.Map{
"sub": token.Subject(),
"client_id": getStringClaim(token, "client_id"),
"organization_id": getStringClaim(token, "organization_id"),
"scopes": getScopesFromToken(token),
"audience": getAudienceFromToken(token),
"message": "เข้าถึงข้อมูลที่ป้องกันสำเร็จ (Protected data accessed successfully)",
})
})
e.Start(":8080")
}
main.go
package main
import (
"github.com/gofiber/fiber/v2"
"github.com/lestrrat-go/jwx/v3/jwt"
)
func main() {
app := fiber.New()
// ใช้งาน middleware กับเส้นทางที่ต้องการป้องกัน
app.Get("/api/protected", VerifyAccessToken, func(c *fiber.Ctx) error {
// ข้อมูลโทเค็นการเข้าถึง (Access token) สามารถเข้าถึงได้โดยตรงจาก locals
tokenInterface := c.Locals("auth")
if tokenInterface == nil {
return c.Status(fiber.StatusInternalServerError).JSON(fiber.Map{"error": "ไม่พบโทเค็น (Token not found)"})
}
token := tokenInterface.(jwt.Token)
return c.JSON(fiber.Map{
"sub": token.Subject(),
"client_id": getStringClaim(token, "client_id"),
"organization_id": getStringClaim(token, "organization_id"),
"scopes": getScopesFromToken(token),
"audience": getAudienceFromToken(token),
})
})
app.Listen(":8080")
}
หรือใช้กลุ่มเส้นทาง (route groups):
main.go
package main
import (
"github.com/gofiber/fiber/v2"
"github.com/lestrrat-go/jwx/v3/jwt"
)
func main() {
app := fiber.New()
// สร้างกลุ่มเส้นทางที่ต้องการป้องกัน
api := app.Group("/api", VerifyAccessToken)
api.Get("/protected", func(c *fiber.Ctx) error {
// ข้อมูลโทเค็นการเข้าถึง (Access token) สามารถเข้าถึงได้โดยตรงจาก locals
token := c.Locals("auth").(jwt.Token)
return c.JSON(fiber.Map{
"sub": token.Subject(),
"client_id": getStringClaim(token, "client_id"),
"organization_id": getStringClaim(token, "organization_id"),
"scopes": getScopesFromToken(token),
"audience": getAudienceFromToken(token),
"message": "เข้าถึงข้อมูลที่ป้องกันสำเร็จ (Protected data accessed successfully)",
})
})
app.Listen(":8080")
}
main.go
package main
import (
"encoding/json"
"net/http"
"github.com/go-chi/chi/v5"
"github.com/lestrrat-go/jwx/v3/jwt"
)
func main() {
r := chi.NewRouter()
// ใช้งาน middleware กับเส้นทางที่ต้องการป้องกัน
r.With(VerifyAccessToken).Get("/api/protected", func(w http.ResponseWriter, r *http.Request) {
// ข้อมูลโทเค็นการเข้าถึง (Access token) สามารถดึงได้โดยตรงจาก context
tokenInterface := r.Context().Value(AuthContextKey)
if tokenInterface == nil {
w.Header().Set("Content-Type", "application/json")
w.WriteHeader(http.StatusInternalServerError)
json.NewEncoder(w).Encode(map[string]string{"error": "ไม่พบโทเค็น (Token not found)"})
return
}
token := tokenInterface.(jwt.Token)
w.Header().Set("Content-Type", "application/json")
json.NewEncoder(w).Encode(map[string]interface{}{
"sub": token.Subject(),
"client_id": getStringClaim(token, "client_id"),
"organization_id": getStringClaim(token, "organization_id"),
"scopes": getScopesFromToken(token),
"audience": getAudienceFromToken(token),
})
})
http.ListenAndServe(":8080", r)
}
หรือใช้กลุ่มเส้นทาง (route groups):
main.go
package main
import (
"encoding/json"
"net/http"
"github.com/go-chi/chi/v5"
"github.com/lestrrat-go/jwx/v3/jwt"
)
func main() {
r := chi.NewRouter()
// สร้างกลุ่มเส้นทางที่ต้องการป้องกัน
r.Route("/api", func(r chi.Router) {
r.Use(VerifyAccessToken)
r.Get("/protected", func(w http.ResponseWriter, r *http.Request) {
// ข้อมูลโทเค็นการเข้าถึง (Access token) สามารถดึงได้โดยตรงจาก context
token := r.Context().Value(AuthContextKey).(jwt.Token)
w.Header().Set("Content-Type", "application/json")
json.NewEncoder(w).Encode(map[string]interface{}{
"sub": token.Subject(),
"client_id": getStringClaim(token, "client_id"),
"organization_id": getStringClaim(token, "organization_id"),
"scopes": getScopesFromToken(token),
"audience": getAudienceFromToken(token),
"message": "เข้าถึงข้อมูลที่ป้องกันสำเร็จ (Protected data accessed successfully)",
})
})
})
http.ListenAndServe(":8080", r)
}
- Spring Boot
- Quarkus
- Micronaut
- Vert.x Web
ProtectedController.java
import org.springframework.security.core.annotation.AuthenticationPrincipal;
import org.springframework.security.oauth2.jwt.Jwt;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
import java.util.Arrays;
import java.util.List;
import java.util.Map;
@RestController
public class ProtectedController {
@GetMapping("/api/protected")
public Map<String, Object> protectedEndpoint(@AuthenticationPrincipal Jwt jwt) {
// ข้อมูลโทเค็นการเข้าถึง (Access token) สามารถเข้าถึงได้โดยตรงจาก JWT
String scopes = jwt.getClaimAsString("scope");
List<String> scopeList = scopes != null ? Arrays.asList(scopes.split(" ")) : List.of();
return Map.of(
"sub", jwt.getSubject(),
"client_id", jwt.getClaimAsString("client_id"),
"organization_id", jwt.getClaimAsString("organization_id"),
"scopes", scopeList,
"audience", jwt.getAudience()
);
}
}
ProtectedResource.java
import org.eclipse.microprofile.jwt.JsonWebToken;
import jakarta.inject.Inject;
import jakarta.ws.rs.GET;
import jakarta.ws.rs.Path;
import jakarta.ws.rs.Produces;
import jakarta.ws.rs.core.MediaType;
import jakarta.ws.rs.core.Context;
import jakarta.ws.rs.container.ContainerRequestContext;
import java.util.Arrays;
import java.util.List;
import java.util.Map;
@Path("/api")
public class ProtectedResource {
@Inject
JsonWebToken jwt;
@GET
@Path("/protected")
@Produces(MediaType.APPLICATION_JSON)
public Map<String, Object> protectedEndpoint(@Context ContainerRequestContext requestContext) {
// เข้าถึง JWT ได้โดยตรงจากการฉีดหรือ context
JsonWebToken token = (JsonWebToken) requestContext.getProperty("auth");
if (token == null) {
token = jwt; // สำรองไปใช้ JWT ที่ถูก inject
}
String scopes = token.getClaim("scope");
List<String> scopeList = scopes != null ? Arrays.asList(scopes.split(" ")) : List.of();
return Map.of(
"sub", token.getSubject(),
"client_id", token.<String>getClaim("client_id"),
"organization_id", token.<String>getClaim("organization_id"),
"scopes", scopeList,
"audience", token.getAudience()
);
}
}
ProtectedController.java
import io.micronaut.http.annotation.Controller;
import io.micronaut.http.annotation.Get;
import io.micronaut.security.annotation.Secured;
import io.micronaut.security.authentication.Authentication;
import io.micronaut.security.rules.SecurityRule;
import java.util.Arrays;
import java.util.List;
import java.util.Map;
@Controller("/api")
@Secured(SecurityRule.IS_AUTHENTICATED)
public class ProtectedController {
@Get("/protected")
public Map<String, Object> protectedEndpoint(Authentication authentication) {
// เข้าถึงข้อมูลโทเค็นการเข้าถึง (Access token) โดยตรงจาก Authentication
String scopes = (String) authentication.getAttributes().get("scope");
List<String> scopeList = scopes != null ? Arrays.asList(scopes.split(" ")) : List.of();
return Map.of(
"sub", authentication.getName(),
"client_id", authentication.getAttributes().get("client_id"),
"organization_id", authentication.getAttributes().get("organization_id"),
"scopes", scopeList,
"audience", authentication.getAttributes().get("aud")
);
}
}
MainVerticle.java
import io.vertx.core.AbstractVerticle;
import io.vertx.core.Promise;
import io.vertx.core.json.JsonObject;
import io.vertx.ext.web.Router;
import io.vertx.ext.web.RoutingContext;
public class MainVerticle extends AbstractVerticle {
@Override
public void start(Promise<Void> startPromise) throws Exception {
Router router = Router.router(vertx);
// ใช้งาน middleware กับเส้นทางที่ต้องการป้องกัน
router.route("/api/protected*").handler(new JwtAuthHandler(vertx));
router.get("/api/protected").handler(this::protectedEndpoint);
vertx.createHttpServer()
.requestHandler(router)
.listen(8080, result -> {
if (result.succeeded()) {
startPromise.complete();
} else {
startPromise.fail(result.cause());
}
});
}
private void protectedEndpoint(RoutingContext context) {
// เข้าถึง JWT principal ได้โดยตรงจาก context
JsonObject principal = context.get("auth");
if (principal == null) {
context.response()
.setStatusCode(500)
.putHeader("Content-Type", "application/json")
.end("{\"error\": \"ไม่พบ JWT principal\"}");
return;
}
String scopes = principal.getString("scope");
JsonObject response = new JsonObject()
.put("sub", principal.getString("sub"))
.put("client_id", principal.getString("client_id"))
.put("organization_id", principal.getString("organization_id"))
.put("scopes", scopes != null ? scopes.split(" ") : new String[0])
.put("audience", principal.getJsonArray("aud"));
context.response()
.putHeader("Content-Type", "application/json")
.end(response.encode());
}
}
เราได้ตั้งค่า middleware สำหรับการยืนยันตัวตน (Authentication) และการอนุญาต (Authorization) ไว้แล้วในส่วนก่อนหน้านี้ ตอนนี้เราสามารถสร้าง controller ที่ได้รับการป้องกัน ซึ่งจะตรวจสอบโทเค็นการเข้าถึง (Access token) และดึงการอ้างสิทธิ์ (Claims) จากคำขอที่ได้รับการยืนยันตัวตน
ProtectedController.cs
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
using System.Security.Claims;
namespace YourApiNamespace.Controllers
{
[ApiController]
[Route("api/[controller]")]
[Authorize] // ต้องมีการยืนยันตัวตนสำหรับทุก action ใน controller นี้
public class ProtectedController : ControllerBase
{
[HttpGet]
public IActionResult GetProtectedData()
{
// ข้อมูลโทเค็นการเข้าถึงสามารถเข้าถึงได้โดยตรงจาก User claims
var sub = User.FindFirst(ClaimTypes.NameIdentifier)?.Value ?? User.FindFirst("sub")?.Value;
var clientId = User.FindFirst("client_id")?.Value;
var organizationId = User.FindFirst("organization_id")?.Value;
var scopes = User.FindFirst("scope")?.Value?.Split(' ') ?? Array.Empty<string>();
var audience = User.FindAll("aud").Select(c => c.Value).ToArray();
return Ok(new {
sub,
client_id = clientId,
organization_id = organizationId,
scopes,
audience
});
}
[HttpGet("claims")]
public IActionResult GetAllClaims()
{
// ส่งคืนการอ้างสิทธิ์ทั้งหมดเพื่อการดีบัก/ตรวจสอบ
var claims = User.Claims.Select(c => new { c.Type, c.Value }).ToList();
return Ok(new { claims });
}
}
}
- Laravel
- Symfony
- Slim
routes/api.php
<?php
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Route;
Route::middleware('auth.token')->group(function () {
Route::get('/api/protected', function (Request $request) {
// เข้าถึงข้อมูลการยืนยันตัวตนจาก attributes ของ request
$auth = $request->attributes->get('auth');
return ['auth' => $auth->toArray()];
});
});
หรือใช้ controller:
app/Http/Controllers/Api/ProtectedController.php
<?php
namespace App\Http\Controllers\Api;
use App\Http\Controllers\Controller;
use Illuminate\Http\Request;
class ProtectedController extends Controller
{
public function __construct()
{
$this->middleware('auth.token');
}
public function index(Request $request)
{
// เข้าถึงข้อมูลการยืนยันตัวตนจาก attributes ของ request
$auth = $request->attributes->get('auth');
return ['auth' => $auth->toArray()];
}
public function show(Request $request)
{
// ตรรกะสำหรับ endpoint ที่ได้รับการป้องกันของคุณ
$auth = $request->attributes->get('auth');
return [
'auth' => $auth->toArray(),
'message' => 'เข้าถึงข้อมูลที่ได้รับการป้องกันสำเร็จ'
];
}
}
src/Controller/Api/ProtectedController.php
<?php
namespace App\Controller\Api;
use Symfony\Bundle\FrameworkBundle\Controller\AbstractController;
use Symfony\Component\HttpFoundation\JsonResponse;
use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\Routing\Annotation\Route;
use Symfony\Component\Security\Http\Attribute\IsGranted;
#[Route('/api/protected')]
#[IsGranted('IS_AUTHENTICATED_FULLY')]
class ProtectedController extends AbstractController
{
#[Route('', methods: ['GET'])]
public function index(Request $request): JsonResponse
{
// เข้าถึงข้อมูลการยืนยันตัวตนจากแอตทริบิวต์ของ request
$auth = $request->attributes->get('auth');
return $this->json(['auth' => $auth->toArray()]);
}
}
src/Controllers/ProtectedController.php
<?php
namespace App\Controllers;
use Psr\Http\Message\ResponseInterface as Response;
use Psr\Http\Message\ServerRequestInterface as Request;
class ProtectedController
{
public function index(Request $request, Response $response): Response
{
// เข้าถึงข้อมูลการยืนยันตัวตนจากแอตทริบิวต์ของ request
$auth = $request->getAttribute('auth');
$response->getBody()->write(json_encode(['auth' => $auth->toArray()]));
return $response->withHeader('Content-Type', 'application/json');
}
public function detailed(Request $request, Response $response): Response
{
// ลอจิกของ endpoint ที่ได้รับการป้องกันของคุณ
$auth = $request->getAttribute('auth');
$data = [
'auth' => $auth->toArray(),
'message' => 'เข้าถึงข้อมูลที่ได้รับการป้องกันสำเร็จ'
];
$response->getBody()->write(json_encode($data));
return $response->withHeader('Content-Type', 'application/json');
}
}
- Ruby on Rails
- Sinatra
- Grape
app/controllers/application_controller.rb
class ApplicationController < ActionController::API # สำหรับแอปที่เป็น API เท่านั้น
# class ApplicationController < ActionController::Base # สำหรับแอป Rails เต็มรูปแบบ
include JwtAuthentication
end
app/controllers/api/protected_controller.rb
class Api::ProtectedController < ApplicationController
before_action :verify_access_token
def index
# เข้าถึงข้อมูลการยืนยันตัวตนจาก @auth
render json: { auth: @auth.to_h }
end
end
config/routes.rb
Rails.application.routes.draw do
namespace :api do
resources :protected, only: [:index]
end
end
app.rb
require 'sinatra'
require 'json'
require_relative 'auth_middleware'
require_relative 'auth_constants'
require_relative 'auth_info'
require_relative 'authorization_error'
require_relative 'auth_helpers'
require_relative 'jwt_validator'
# ใช้งาน middleware
use AuthMiddleware
get '/api/protected' do
content_type :json
# เข้าถึงข้อมูล auth จาก env
auth = env['auth']
{ auth: auth.to_h }.to_json
end
# ปลายทางสาธารณะ (ไม่ถูกป้องกันโดย middleware)
get '/' do
content_type :json
{ message: "Public endpoint" }.to_json
end
api.rb
require 'grape'
require_relative 'auth_helpers'
require_relative 'auth_constants'
require_relative 'auth_info'
require_relative 'authorization_error'
require_relative 'jwt_validator'
class API < Grape::API
format :json
helpers GrapeAuthHelpers
namespace :api do
namespace :protected do
before do
authenticate_user!
end
get do
# เข้าถึงข้อมูลการยืนยันตัวตนจากตัวช่วย auth
{ auth: auth.to_h }
end
end
end
# ปลายทางสาธารณะ (ไม่ถูกป้องกัน)
get :public do
{ message: "ปลายทางสาธารณะ" }
end
end
config.ru
require_relative 'api'
run API
- Axum
- Actix Web
- Rocket
main.rs
use axum::{
extract::Extension,
http::StatusCode,
middleware,
response::Json,
routing::get,
Router,
};
use serde_json::{json, Value};
use std::sync::Arc;
use tower_http::cors::CorsLayer;
mod lib;
mod jwt_validator;
mod middleware as jwt_middleware;
use lib::AuthInfo;
use jwt_validator::JwtValidator;
#[tokio::main]
async fn main() {
let validator = Arc::new(JwtValidator::new().await.expect("ไม่สามารถเริ่มต้น JWT validator ได้ (Failed to initialize JWT validator)"));
let app = Router::new()
.route("/api/protected", get(protected_handler))
.layer(middleware::from_fn(jwt_middleware::jwt_middleware))
.layer(Extension(validator))
.layer(CorsLayer::permissive());
let listener = tokio::net::TcpListener::bind("0.0.0.0:3000").await.unwrap();
axum::serve(listener, app).await.unwrap();
}
async fn protected_handler(Extension(auth): Extension<AuthInfo>) -> Json<Value> {
// เข้าถึงข้อมูล auth ได้โดยตรงจาก Extension (Access auth information directly from Extension)
Json(json!({ "auth": auth }))
}
main.rs
use actix_web::{middleware::Logger, web, App, HttpRequest, HttpServer, Result};
use serde_json::{json, Value};
use std::sync::Arc;
mod lib;
mod jwt_validator;
mod middleware as jwt_middleware;
use lib::AuthInfo;
use jwt_validator::JwtValidator;
use jwt_middleware::JwtMiddleware;
#[actix_web::main]
async fn main() -> std::io::Result<()> {
let validator = Arc::new(JwtValidator::new().await.expect("Failed to initialize JWT validator"));
HttpServer::new(move || {
App::new()
.app_data(web::Data::new(validator.clone()))
.wrap(Logger::default())
.service(
web::scope("/api/protected")
.wrap(JwtMiddleware::new(validator.clone()))
.route("", web::get().to(protected_handler))
)
})
.bind("127.0.0.1:8080")?
.run()
.await
}
async fn protected_handler(req: HttpRequest) -> Result<web::Json<Value>> {
// เข้าถึงข้อมูลการยืนยันตัวตนจาก request extensions
let auth = req.extensions().get::<AuthInfo>().unwrap();
Ok(web::Json(json!({ "auth": auth })))
}
main.rs
use rocket::{get, launch, routes, serde::json::Json};
use serde_json::{json, Value};
mod lib;
mod jwt_validator;
mod guards;
use lib::AuthInfo;
use jwt_validator::JwtValidator;
#[get("/api/protected")]
fn protected_handler(auth: AuthInfo) -> Json<Value> {
// เข้าถึงข้อมูล auth ได้โดยตรงจาก request guard
Json(json!({ "auth": auth }))
}
#[launch]
async fn rocket() -> _ {
let validator = JwtValidator::new().await.expect("ไม่สามารถเริ่มต้น JWT validator ได้");
rocket::build()
.manage(validator)
.mount("/", routes![protected_handler])
}
ขั้นตอนที่ 5: ทดสอบการใช้งานของคุณ
รับโทเค็นการเข้าถึง (Access tokens)
จากแอปพลิเคชันไคลเอนต์ของคุณ: หากคุณได้ตั้งค่าการเชื่อมต่อไคลเอนต์แล้ว แอปของคุณจะสามารถรับโทเค็นได้โดยอัตโนมัติ ดึงโทเค็นการเข้าถึงและนำไปใช้ในคำขอ API
สำหรับการทดสอบด้วย curl / Postman:
-
โทเค็นผู้ใช้: ใช้เครื่องมือสำหรับนักพัฒนาของแอปไคลเอนต์ของคุณเพื่อคัดลอกโทเค็นการเข้าถึงจาก localStorage หรือแท็บ network
-
โทเค็นเครื่องต่อเครื่อง: ใช้ client credentials flow ตัวอย่างที่ไม่เป็นทางการโดยใช้ curl:
curl -X POST https://your-tenant.logto.app/oidc/token \
-H "Content-Type: application/x-www-form-urlencoded" \
-d "grant_type=client_credentials" \
-d "client_id=your-m2m-client-id" \
-d "client_secret=your-m2m-client-secret" \
-d "resource=https://your-api-resource-indicator" \
-d "scope=api:read api:write"คุณอาจต้องปรับพารามิเตอร์
resourceและscopeให้ตรงกับทรัพยากร API และสิทธิ์ของคุณ; อาจต้องใช้พารามิเตอร์organization_idหาก API ของคุณอยู่ในขอบเขตองค์กร
เคล็ดลับ:
ต้องการตรวจสอบเนื้อหาโทเค็นใช่ไหม? ใช้ JWT decoder ของเราเพื่อถอดรหัสและตรวจสอบ JWT ของคุณ
ทดสอบ endpoint ที่ได้รับการป้องกัน
คำขอที่มีโทเค็นถูกต้อง
curl -H "Authorization: Bearer eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9..." \
http://localhost:3000/api/protected
ผลลัพธ์ที่คาดหวัง:
{
"auth": {
"sub": "user123",
"clientId": "app456",
"organizationId": "org789",
"scopes": ["api:read", "api:write"],
"audience": ["https://your-api-resource-indicator"]
}
}
ไม่มีโทเค็น
curl http://localhost:3000/api/protected
ผลลัพธ์ที่คาดหวัง (401):
{
"error": "Authorization header is missing"
}
โทเค็นไม่ถูกต้อง
curl -H "Authorization: Bearer invalid-token" \
http://localhost:3000/api/protected
ผลลัพธ์ที่คาดหวัง (401):
{
"error": "Invalid token"
}
การทดสอบเฉพาะโมเดลสิทธิ์ (Permission model-specific testing)
- ทรัพยากร API ระดับโกลบอล (Global API resources)
- สิทธิ์ขององค์กร (ไม่ใช่ API) (Organization (non-API) permissions)
- ทรัพยากร API ระดับองค์กร (Organization-level API resources)
กรณีทดสอบสำหรับ API ที่ได้รับการป้องกันด้วย global scopes:
- ขอบเขตถูกต้อง: ทดสอบด้วยโทเค็นที่มีขอบเขต API ที่ต้องการ (เช่น
api:read,api:write) - ขาดขอบเขต: คาดหวัง 403 Forbidden เมื่อโทเค็นไม่มีขอบเขตที่จำเป็น
- audience ไม่ถูกต้อง: คาดหวัง 403 Forbidden เมื่อ audience ไม่ตรงกับทรัพยากร API
# โทเค็นที่ขาดขอบเขต - คาดหวัง 403
curl -H "Authorization: Bearer token-without-required-scopes" \
http://localhost:3000/api/protected
กรณีทดสอบสำหรับการควบคุมการเข้าถึงเฉพาะองค์กร:
- โทเค็นองค์กรถูกต้อง: ทดสอบด้วยโทเค็นที่มี context ขององค์กรที่ถูกต้อง (organization ID และ scopes)
- ขาดขอบเขต: คาดหวัง 403 Forbidden เมื่อผู้ใช้ไม่มีสิทธิ์สำหรับการกระทำที่ร้องขอ
- องค์กรไม่ถูกต้อง: คาดหวัง 403 Forbidden เมื่อ audience ไม่ตรงกับ context ขององค์กร (
urn:logto:organization:<organization_id>)
# โทเค็นสำหรับองค์กรผิด - คาดหวัง 403
curl -H "Authorization: Bearer token-for-different-organization" \
http://localhost:3000/api/protected
กรณีทดสอบที่ผสมผสานการตรวจสอบทรัพยากร API กับ context ขององค์กร:
- องค์กร + ขอบเขต API ถูกต้อง: ทดสอบด้วยโทเค็นที่มีทั้ง context ขององค์กรและขอบเขต API ที่ต้องการ
- ขาดขอบเขต API: คาดหวัง 403 Forbidden เมื่อโทเค็นองค์กรไม่มีสิทธิ์ API ที่จำเป็น
- องค์กรไม่ถูกต้อง: คาดหวัง 403 Forbidden เมื่อเข้าถึง API ด้วยโทเค็นจากองค์กรอื่น
- audience ไม่ถูกต้อง: คาดหวัง 403 Forbidden เมื่อ audience ไม่ตรงกับทรัพยากร API ระดับองค์กร
# โทเค็นองค์กรที่ไม่มีขอบเขต API - คาดหวัง 403
curl -H "Authorization: Bearer organization-token-without-api-scopes" \
http://localhost:3000/api/protected
แหล่งข้อมูลที่เกี่ยวข้อง
การปรับแต่งการอ้างสิทธิ์ (claims) ในโทเค็น JSON Web Token (JWT)OpenID Connect Discovery
RFC 8707: ตัวบ่งชี้ทรัพยากร (Resource Indicators)