Auth0 用户权限未在令牌中传递
Auth0 user permissions not being passed in token
我创建了一个 auth0 后端 api 和一个 React 客户端。两个应用程序都正确地与 auth0 通信以进行身份验证。我可以在 React 客户端上以用户身份登录,然后使用不记名令牌向后端 api 发出获取请求,以访问受保护的端点。这遵循 https://auth0.com/docs/quickstart/backend/rails/01-authorization,但是,在使用特定的 scopes/permissions.
额外保护端点时,我陷入困境
我的理解是,通过在 auth0 设置中创建一个角色,向该角色添加一个特定的 scope/permission Y,并通过将用户 X 分配给该角色,持有者令牌将自动包含该权限 Y用户 X 在 React 应用程序中正确登录。但是,当我访问受该权限 Y 保护的后端端点时,它没有授权我,因此范围似乎丢失了。 'Enable RBAC' 和 'Add Permissions in the Access Token' 都为 api 启用。
如果有人有这方面的经验,我将不胜感激!
这里有几件事可能是您的问题。选择 enable RBAC 和 Add Permissions in the Access Token 后,确保已将权限添加到 api。接下来,您需要确保您选择的用户在“用户”选项卡下具有与之关联的权限。
配置完成后,您的访问令牌应该具有您的权限。您可以通过查看在 https://jwt.io/.
等网站上登录时生成的令牌来验证这一点
我创建了一个 auth0 后端 api 和一个 React 客户端。两个应用程序都正确地与 auth0 通信以进行身份验证。我可以在 React 客户端上以用户身份登录,然后使用不记名令牌向后端 api 发出获取请求,以访问受保护的端点。这遵循 https://auth0.com/docs/quickstart/backend/rails/01-authorization,但是,在使用特定的 scopes/permissions.
额外保护端点时,我陷入困境我的理解是,通过在 auth0 设置中创建一个角色,向该角色添加一个特定的 scope/permission Y,并通过将用户 X 分配给该角色,持有者令牌将自动包含该权限 Y用户 X 在 React 应用程序中正确登录。但是,当我访问受该权限 Y 保护的后端端点时,它没有授权我,因此范围似乎丢失了。 'Enable RBAC' 和 'Add Permissions in the Access Token' 都为 api 启用。
如果有人有这方面的经验,我将不胜感激!
这里有几件事可能是您的问题。选择 enable RBAC 和 Add Permissions in the Access Token 后,确保已将权限添加到 api。接下来,您需要确保您选择的用户在“用户”选项卡下具有与之关联的权限。
配置完成后,您的访问令牌应该具有您的权限。您可以通过查看在 https://jwt.io/.
等网站上登录时生成的令牌来验证这一点