跳到主要内容

受保护的应用

受保护的应用旨在通过将认证层与应用程序分离来消除 SDK 集成的复杂性。我们负责处理认证,让你专注于核心功能。一旦用户通过认证,受保护的应用将从你的服务器提供内容。

受保护的应用如何工作

受保护的应用由 Cloudflare 提供支持,在全球边缘网络上运行,确保你的应用具有低延迟和高可用性。

受保护的应用维护会话状态和用户信息。如果用户未通过认证,受保护的应用会将他们重定向到登录页面。一旦通过认证,受保护的应用会将用户的请求与认证和用户信息一起包装,然后转发到源服务器。

以下流程图展示了这一过程:

保护你的源服务器

源服务器可以是 Logto 的受保护应用不拥有的物理或虚拟设备,是你的应用内容所在的位置。类似于内容分发网络 (CDN) 服务器,受保护的应用管理认证过程并从你的源服务器检索内容。因此,如果用户直接访问你的源服务器,他们可以绕过认证,你的应用将不再受保护。

因此,保护源连接非常重要,它可以防止攻击者在未经认证的情况下发现和访问你的源服务器。有几种方法可以做到这一点:

  1. HTTP 头验证
  2. JSON Web Token (JWT) 验证

HTTP 头验证

可以使用 HTTP 基本认证 来保护你的源服务器。

每个来自受保护的应用的请求都包含以下头:

Authorization: Basic base64(appId:appSecret)

通过验证此头,你可以确认请求来自受保护的应用,并拒绝任何不包含此头的请求。

如果你使用 Nginx 或 Apache,可以参考以下指南在源服务器上实现 HTTP 基本认证:

  1. Nginx: 配置 HTTP 基本认证
  2. Apache: 认证和授权

要在应用程序中检查头,请参考 Cloudflare 提供的 HTTP 基本认证示例 以了解如何使用 HTTP 基本模式限制访问。

JSON Web Token (JWT) 验证

另一种保护源服务器的方法是使用 JSON Web Token (JWT)。

每个来自受保护的应用的认证请求都包含以下头:

Logto-ID-Token: <JWT>

JWT 被称为 ID 令牌,由 Logto 签名并包含用户信息。通过验证此 JWT,你可以确认请求来自受保护的应用,并拒绝任何不包含此头的请求。

令牌被加密并签名为 JWS 令牌。

验证步骤:

  1. 验证 JWT
  2. 验证 JWS 签名
  3. 令牌的发行者是 https://<your-logto-domain>/oidc(由你的 Logto 认证服务器发行)
const express = require('express');
const jwksClient = require('jwks-rsa');
const jwt = require('jsonwebtoken');

const ISSUER = 'https://<your-logto-domain>/oidc';
const CERTS_URL = 'https://<your-logto-domain>/oidc/jwks';

const client = jwksClient({
  jwksUri: CERTS_URL,
});

const getKey = (header, callback) => {
  client.getSigningKey(header.kid, function (err, key) {
    callback(err, key?.getPublicKey());
  });
};

const verifyToken = (req, res, next) => {
  const token = req.headers['Logto-ID-Token'];

  // 确保传入的请求包含我们的令牌头
  if (!token) {
    return res.status(403).send({ status: false, message: '缺少必需的 Logto-ID-Token 头' });
  }

  jwt.verify(token, getKey, { issuer: ISSUER }, (err, decoded) => {
    if (err) {
      return res.status(403).send({ status: false, message: '无效的 ID 令牌' });
    }

    req.user = decoded;
    next();
  });
};

const app = express();

app.use(verifyToken);

app.get('/', (req, res) => {
  res.send('Hello World!');
});

app.listen(3000);

获取认证状态和用户信息

如果你需要为应用程序获取认证和用户信息,也可以使用 Logto-ID-Token 头。

如果你只想解码令牌,可以使用以下代码:

const express = require('express');

const decodeIdToken = (req, res, next) => {
  const token = req.headers['Logto-ID-Token'];

  if (!token) {
    return res.status(403).send({
      status: false,
      message: '缺少必需的 Logto-ID-Token 头',
    });
  }

  const parts = token.split('.');
  if (parts.length !== 3) {
    throw new Error('无效的 ID 令牌');
  }

  const payload = parts[1];
  const decodedPayload = atob(payload.replace(/-/g, '+').replace(/_/g, '/'));
  const claims = JSON.parse(decodedPayload);

  req.user = claims;
  next();
};

const app = express();

app.use(decodeIdToken);

app.get('/', (req, res) => {
  res.json(req.user);
});

app.listen(3000);

获取原始主机

如果你需要获取客户端请求的原始主机,可以使用 Logto-Hostx-forwarded-host 头。

自定义认证规则

默认情况下,受保护的应用将保护所有路由。如果你需要自定义认证规则,可以在控制台中设置“自定义认证规则”字段。

它支持正则表达式,以下是两个案例场景:

  1. 仅保护 /admin/privacy 路由:^/(admin|privacy)/.*
  2. 排除 JPG 图片的认证:^(?!.*\.jpg$).*$

本地开发

受保护的应用旨在与源服务器一起工作。但是,如果你的源服务器无法公开访问,可以使用 ngrokCloudflare Tunnels 等工具将本地服务器暴露到互联网。

过渡到 SDK 集成

受保护的应用旨在简化认证过程。但是,如果你决定过渡到 SDK 集成以获得更好的控制和自定义,可以在 Logto 中创建一个新应用并配置 SDK 集成。为了顺利过渡,你可以重用受保护的应用的应用配置。受保护的应用实际上是 Logto 中的“传统 Web 应用”,你可以在应用设置中找到“AppId”和“AppSecret”。过渡完成后,你可以从应用中移除受保护的应用。