Auth0 のRules で Access Token に Roleを追加する

渡辺 修司

2019.05.08

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

渡辺です。 Auth0をいじっているのでメモ。

2019/05時点のAuth0では、Groupは存在せず、Roleのみが提供されている。 ただし、Auth0 Authorization Extentionを追加すると、パフォーマンスなどネックはあるもののGroupが利用できる。

とりあえず、特定のユーザに権限を与えたい。 Groupが妥当だけど、Roleでもいい、Access Tokenに乗ってくれば・・・

Roleの作成

とりあえずAdmin Roleを作成し、ユーザに付与する。 Users & Roles メニューからポチポチすればOK。

Rulesの作成

RolesはスタンダードなClaimには乗らないので、カスタマイズするためにRuleを追加する。 Ruleってのは認証時に割り込み処理を行って、カスタマイズするようなJavaScriptのコードのこと。 特定のIPをブロックしたり、好き放題できる。

Empty Ruleで作成。

context.accessTokenにrolesを設定。 claimのルールなのでネームスペースを使うこと。 

function (user, context, callback) {
  const namespace = 'https://classmethod.jp/';
  const assignedRoles = (context.authorization || {}).roles;
  context.accessToken[namespace + 'roles'] = assignedRoles;
  return callback(null, user, context);
}

動作確認

Ruleを有効にしたら /token APIでAccess Tokenを作成。

無事、JWTにRoleが乗りました。

2019-05-08T09:59:08.298Z    bbc752d8-dd35-4c9f-b900-81a4f17e154c
{
    "https://classmethod.jp/roles": [
        "Admin"
    ],
    "iss": "https://xxxxxx.auth0.com/",
    "sub": "auth0|xxxxxxxxxxxxxxxxxxxxxxxxxxxx",
    "aud": "https://xxxxxx.auth0.com/api/v2/",
    "iat": 1557309526,
    "exp": 1557395926,
    "azp": "xxxxxxxxxxxxxxxxxxxxxxxxxxxx",
    "scope": "xxxxxxxxxxxxxxxxxxxxxxxxxxxx",
    "gty": "xxxxxxxxxxxxxxxxxxxxxxxxxxxx"
}

雪溶けちゃったなぁ。

スキルアップ|初心者向け|書評|デベキャン|AWS認定|スキルアップ|デベキャンだより|勉強会|コミュニティ

関連記事

[Auth0] 1つのApplicationから2つの異なるDatabaseに繋いで認証させる方法

新屋司

2024.04.08

GitHub Enterprise CloudでSAML SSOするときのIdPに「Okta」を使う場合の手順

新屋司

2024.03.31

OpenFGAのモデリングガイドを読み解く(前編)

新屋司

2024.03.21

OpenFGAをローカルのDocker環境で動かして認可チェックをするところまでをやってみた

新屋司

2024.03.11