Блог

Главная - Вопросы по программированию - Интегрировать Auth0 как промежуточное программное обеспечение в Express.js средство проверки авторизации контроллеров маршрутизации

Интегрировать Auth0 как промежуточное программное обеспечение в Express.js средство проверки авторизации контроллеров маршрутизации

#typescript #express #auth0 #routing-controllers

#typescript #экспресс #auth0 #маршрутизация-контроллеры

Вопрос:

У меня возникли трудности с переводом узла Auth0 (Express) Быстрый запуск API для варианта промежуточного программного обеспечения. В частности, используя библиотеку routing-controllers от TypeStack и хотите интегрировать Auth0 с помощью их @Authorized декоратора.

В app.ts:

 const app = createExpressServer({

    authorizationChecker: async (action: Action, roles: string[]) => {
        const token = action.request.headers['authorization'];

        // QUESTION: How to validate the bearer token here so it returns true/false
        //   also respect the role ('super-duper-trooper')?

        return true/false;   // <----- this
        
    },

    controllers: [StatusController]
});

В status-controller.ts я украшаю операцию @Authorized роль в ней:

 @Controller()
export class StatusController {

    @Get('/status')
    getAll() {
       return 'OK, anonymously accessible';
    }

    @Authorized('super-duper-trooper')   // <----- that
    @Get('/status/:id')
    getOne(@Param('id') id: string) {
       return 'NOT OK';
    }
}

Мой вопрос: Как настроить authorizationChecker функцию так, чтобы она одновременно проверяла токен и соответствовала роли (‘super-duper-trooper’ из примера выше)?

Примечание. Я попытался добавить его как обычное Express.js промежуточное программное обеспечение (app.use(MyMiddleware)), но оно заменяется функцией authorizationChecker.

Ответ №1:

Мне удалось заставить authorizationChecker работать контроллеры маршрутизации в Express.js .

Я сделал это, включив библиотеки jsonwebtoken и jwks-rsa .

Смотрите следующую функцию аутентификации, которая проверяет заданный JWT:

 import jwt from 'jsonwebtoken';
import jwksRsa from 'jwks-rsa';

export async function AuthMiddleware(token: string, roles: string[]): Promise<boolean> {
    if (!token) return false;

    // Extracts the bearer token from the request headers
    const bearerToken = token.split(' ')[1];

    // Set up a JWKS client that retrieves the public key from Auth0, this public key will be used to challenge the
    // bearer token against.
    const client = jwksRsa({
        jwksUri: 'https://your_jwks_uri.com/jwks.json' // For example, using Auth0 you can find this in Auth0 Applications -> Advanced Settings -> Endpoints. This should look something like this: https://yourtenant.eu.auth0.com/.well-known/jwks.json
    });
    const getPublicKey = (header: any, callback: any) => {
        client.getSigningKey(header.kid, (err, key) => {
            const signingKey = key.getPublicKey();
            callback(null, signingKey);
        });
    }

    // As jwt.verify cannot be awaited, we construct a promise that we will resolve once the JWT verification has
    // finished. This way, we can simulate awaiting of the JWT verification.
    let jwtVerifyPromiseResolver: (tokenValid: boolean) => void;
    const jwtVerifyPromise = new Promise<boolean>(resolve => {
        jwtVerifyPromiseResolver = resolve;
    });

    const tokenNamespace = 'your_namespace'; // The namespace you have added to the roles in your auth token in an Auth0 rule

    jwt.verify(bearerToken, getPublicKey, {}, (err, decodedJwt: any) => {
        let jwtValid: boolean = false;

        if (err)
            jwtValid = false;
        else {
            // When the requested endpoint requires roles, check if the decoded JWT contains those roles
            if (roles amp;amp; roles.length > 0) {
                const userRoles = decodedJwt[`${tokenNamespace}roles`];

                if (userRoles)
                    // Token is valid if all roles for request are present in the user's roles
                    jwtValid = roles.every((role) => userRoles.includes(role));
                else
                    // Token does not contain roles, mark token as invalid
                    jwtValid = false;
            }

            jwtValid = true;
        }

        jwtVerifyPromiseResolver(
            jwtValid
        );
    });

    return jwtVerifyPromise;
}

Затем эту функцию можно использовать в authorizationToken функции, например:

 const app = createExpressServer({
    authorizationChecker: async (action: Action, roles: string[]) => {
        const authorizationToken = action.request.headers['authorization'];

        // Wait for JWT verification to complete, returning whether the token is valid or not
        return await AuthMiddleware(authorizationToken, roles);
    },

    controllers: [StatusController]
});

После настройки этого вы можете украсить действия в своих контроллерах с помощью @Authorize() or @Authorize('role') , как вы уже делаете. Это вызовет authorizationChecker перед каждым запросом к действию.

Примечание: вся getPublicKey часть, которая извлекает открытый ключ из конечной точки, также может быть заменена просто наличием вашего открытого ключа в вашем коде или в настройках где-нибудь. Таким образом, вам также не нужно создавать обещание вручную, чтобы дождаться проверки JWT. Однако я думал, что извлечение открытого ключа по требованию было более элегантным решением.