Auth0 是一个 Identity and Access Management (IAM) 平台,可简化应用程序中的身份验证和授权管理。我们开发人员依靠 Auth0 规则和 Hook 来自定义身份验证过程。但是,随着 Auth0 操作的引入,现在有一种更灵活、可维护且更现代的解决方案来实施自定义身份验证逻辑。
为什么要迁移?
随着我们的应用程序的增长,管理 Rules 和 Hook 变得困难。
规则和钩子都是按顺序运行的,如果一个影响另一个,可能会导致意外结果,从而使故障排除变得困难。此外,Hook 需要单独的管理,这增加了复杂性。
相比之下,虽然 Actions 也是按顺序运行的,但它们被设计得更加模块化,允许我们创建更小、可重用的逻辑片段。这种模块化使测试和修复单个 Action 变得更加容易,而无需担心它们如何相互交互。Actions 还提供了更好的调试工具和版本控制,从而简化了身份验证过程的整体管理。
规则和钩子的限制:
Auth0 中的规则是作为身份验证管道的一部分执行的 JavaScript 函数。虽然功能强大,但它们也有局限性:
它们按顺序运行,这意味着管理多个规则变得很棘手。
调试和测试可能具有挑战性。
没有模块化,因此通常需要重复相同的逻辑。
Hook 也有缺点:
-
它们是事件驱动的,但仅限于某些场景,如用户注册后。
它们需要在常规身份验证管道之外进行单独管理。
调试 hook 并不那么简单。
Actions 的优点:
Actions 解决了许多以下问题:
它们允许更好的模块化。您可以在不同的应用程序中重复使用它们。
您可以访问版本控制,这有助于您管理和回滚更改。
通过更好的日志和实时测试工具,测试和调试体验得到了极大的改善。
操作可以绑定到各种触发器(登录后、用户前注册) 等)并且可以通过统一界面进行管理。
准备迁移
记录现有规则和 Hook:
在开始迁移之前,我们确保彻底记录和确定所有现有规则和 Hook 的用例。这有助于我们更轻松地将功能映射到操作。
了解 Auth0 操作:
操作是在身份验证管道中的特定点触发的事件驱动功能,例如登录后或预注册。它们是用 Node.js 编写的,允许您以更加模块化和可重用的方式定义逻辑。
关键组件包括:
触发器:指定操作的执行时间(例如,登录后、注册期间)。
事件处理程序:从触发操作的事件中捕获详细信息(例如,用户信息)。
密钥:存储敏感数据,如 API 密钥。
版本控制:管理操作的不同版本,以便更轻松地更新和回滚。
迁移示例:
让我们采用一个在登录时添加用户角色的简单规则:
function (user, context, callback) {
// Check the user's email domain
if (user.email && user.email.endsWith('@example.com')) {
// Assign a role for users with the specified domain
user.app_metadata = user.app_metadata || {};
user.app_metadata.roles = ['employee'];
// Update the user in the Auth0 database
auth0.users.updateAppMetadata(user.user_id, user.app_metadata)
.then(function() {
callback(null, user, context);
})
.catch(function(err) {
callback(err);
});
} else {
// Assign a default role for other users
user.app_metadata = user.app_metadata || {};
user.app_metadata.roles = ['guest'];
callback(null, user, context);
}
}说明:
目的:此规则检查用户的电子邮件是否以 @example.com 结尾。如果是这样,则会为用户分配“employee”角色。否则,将为其分配 “guest” 角色。
更新用户元数据:该规则使用 auth0.users.updateAppMetadata 将分配的角色保存在用户的应用程序元数据中。
回调:规则调用 callback(null, user, context) 以继续身份验证流程,如果发生错误,则调用 callback(err)。
将此迁移到操作如下所示:
exports.onExecutePostLogin = async (event, api) => {
// Check the user's email domain
if (event.user.email && event.user.email.endsWith('@example.com')) {
// Assign a role for users with the specified domain
api.user.setAppMetadata('roles', ['employee']);
} else {
// Assign a default role for other users
api.user.setAppMetadata('roles', ['guest']);
}
}; 事件和 API:Action 使用 event 获取用户信息,使用 api 修改用户元数据,而 Rule 直接操作用户对象并使用回调。
异步性质:操作旨在更干净地处理异步操作,从而实现更直接的实现。
迁移规则的最佳实践:
保持较小的操作:将复杂的逻辑分解为更小、更易于管理的部分。
跨应用程序重用:以可在多个应用程序中使用的方式编写操作,以避免代码重复。
现在让我们用一个简单的钩子来添加 persona:
Hook 是由特定事件(例如用户注册后)触发的服务器端扩展。它们允许您将自定义逻辑集成到用户生命周期中。
示例 Hook:
module.exports = function (client, scope, audience, context, cb) {
let access_token = {
scope: scope
};
if (client.name === 'MyApp') {
access_token["https://app/persona"] = "user";
if (context.body.customer_id || context.body.upin) {
return cb(new InvalidRequestError('Not a valid request.'));
}
}
}在 action 中,它将变为:
exports.onExecuteCredentialsExchange = async (event, api) => {
let requestBody = event.request.body;
if (event.client.name === 'MyApp') {
api.accessToken.setCustomClaim(`https://app/persona`, "user");
if (!requestBody.customer_id || !requestBody.upin) {
api.access.deny(`Not a valid request for client-credential Action`);
return
}
}实现差异:
-
操作为处理异步代码和错误处理提供了更好的工具。
迁移过程通过集成的日志跟踪简化了调试 议员。
测试和调试:
Auth0 的操作界面具有实时日志和模拟事件的能力,使测试变得简单。我们广泛使用了实时 webtask 日志记录功能,以确保操作按预期工作。
迁移后体验到的好处:
性能改进:
我们观察到操作运行得更快且更可预测,因为规则的顺序执行通常会导致性能瓶颈。
简化的工作流程:
通过操作,可以更轻松地管理自定义逻辑。我们现在拥有可在不同应用程序之间重复使用的模块化操作,从而减少代码重复。
可重用性和模块化:
Actions 提高了我们跨多个租户重用逻辑的能力。以前,我们必须为不同的应用程序复制规则,但现在,单个操作可以用于多种用途。
要避免的常见陷阱:
执行顺序误解:
如果您正在运行多个操作,请确保了解它们的执行顺序。错误的执行顺序可能会导致分配不正确的用户角色等问题。
Misconfigured Triggers (配置错误的触发器):
仔细检查是否为您的操作分配了正确的触发器。
例如,将登录后操作附加到预用户注册事件将不起作用。
在生产环境中测试:
始终先在暂存环境中进行测试。切勿将未经测试的操作直接部署到生产环境中。
总之,迁移到 Auth0 Actions 对我们来说是一个游戏规则改变者。随着 Auth0 于 2024 年 11 月 18 日弃用规则和钩子,进行此过渡简化了我们的工作流程,提高了性能,并使管理身份验证逻辑变得更加容易。如果您仍然依赖 Rules 和 Hook,那么现在是探索 Actions 的最佳时机。
扫一扫
1966
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
