問題タブ [auth0]

スターター テンプレートを使用して Auth0 アプリを作成しました - ハイブリッド モバイル アプリ > Ionic > ASP.NET Web API

ドキュメントに従って、組織の IDP (この場合は Okta) へのエンタープライズ接続を作成し、接続のテストに成功しました。ただし、ログイン ウィジェットには、接続するためのこのオプションは表示されません。

ウィジェットに接続を追加する方法に関するドキュメントが見つからないようです。コードを見ると、プロジェクトは Auth0 angular を使用しているように見えますが、そこにも何も表示されません。ブートストラップされたコードがロック ライブラリをインポートしていることは知っていますが、ロック メソッドがどこにも呼び出されていないので、Auth0 ロック ウィジェットを使用しているかどうかはよくわかりません。

ここで何か助けていただければ幸いです。

問題が発生しました。Google で解決策が見つからないため、回答していただけると幸いです。現在、アプリケーションに Auth0 認証を実装しようとしています。

これを明確にするために、次のような App コンポーネントを作成しました。

アプリ コンポーネント

routeConfig を追加したので、現在 URL は次のようになっています: localhost:3000/amendment

次に、次のような AmendmentComponent を作成しました。

HTML では、コンポーネント (AccountComponent) を読み込んでいることがわかります。このコンポーネントで Auth0 を処理しています。

AccountComponent html は次のようになります。

私が作ろうとしているのは、Auth0 ボックスを localhost:3000/amendment/login Url にロードすることです。ログインHrefリンクをクリックすると、RouterConfigが原因でlocalhost:3000/amendment/bookingsにすばやく移動します:(

したがって、私の問題は、Auth0ログインボックスを停止してロードしないことです。一瞬それを見ることができ、その後リダイレクトされます。

これに対する解決策はありますか？

すべての routerConfig パスを削除すると機能することに注意してください。したがって、リダイレクトは発生しませんが、それは私にとっての解決策ではありません..

ユーザーの認証にauth0を使用しているため、auth0はすでにそのデータベースを保持しているため、ユーザーモーダルを管理する必要はありません. API のフロントエンドとして React を使用し、バックエンドとして Nodejs を使用しています。ノードアプリでユーザーモデルを作成し、そのIDを個々のレコードに関連付けて、ユーザーIDごとにデータをクエリできるようにする必要がありますか、それとも他の方法ですか?

React 側では、API の get/post リクエストを作成する際に、認証 id_token をヘッダーとして使用するだけです。

ノード側では、Auth0 の基本的なドキュメントに、自分の api を認証する方法が説明されています。

しかし、これは基本的にそれを認証するだけです.APIからユーザー固有のデータを取得するにはどうすればよいですか. また、一歩前進してマルチテナンシーを有効にする方法は、基本的なプロセスを簡単に説明するガイドを提供する関連ドキュメントです。

JWT を使用する場合、CSRF 攻撃から保護する必要がないことを読みました。

ただし、理解できないことがあります。トークンを保存する場合(同じ Web サイトのチュートリアルでlocalStorageアドバイスされているように)、攻撃者が自分の Cookie の代わりに自分の Cookie を読み取って悪意のあるリクエストを偽造するのを防ぐにはどうすればよいでしょうか?localStorage

サーバー側で生成されたので、クライアントのどこかにトークンが保存されていなければ、クライアント要求にトークンを使用する方法がわかりません。

1.3.2.RELEASE BOM を使用して、 Spring Security Auth0を Spring Web アプリに統合しています。提供された auth0-security-context.xml ファイルを使用して認証を構成していましたが、これは機能し、次のようになりました。

構成をカスタマイズする必要がある (CSRF 保護をオフにする必要がある) ため、上記の XML ファイルをインポートした注釈を削除し、次のクラスを使用して上記を Java 構成に変換しようとしました。

Auth0Configuration.java

WebSecurityConfig.java

これはすべて例外なくコンパイルおよび実行され、認証を提供しない場合は、認証を行う必要があることが正しく通知されますが、認証ヘッダーで有効なベアラー トークンを使用して認証すると、メッセージが表示されますNo AuthenticationProvider found for com.auth0.spring.security.auth0.Auth0JWTToken。完全に明確にするために、この質問の上部にある auth0-security-context.xml ファイルを使用する場合、その問題はありません。

XML 構成から Java 構成に変換するときに見逃したものは何ですか?

GitHub への認証済み API リクエストを機能させるのに非常に苦労しています。GitHub で承認済みアプリケーションを作成し、Auth0 アカウントに接続しました。ユーザーが GitHub アカウントを使用してサインインするのに問題はありませんが、サインインすると、GitHub API に対して認証済みのリクエストを行うことができません (ユーザーの GitHub リポジトリの 1 つに GitHub webhook を設定しようとしています)。資格情報が正しくないため、すべてのリクエストが拒否されます。

GitHub API エンドポイントへの各リクエストで送信される Auth0 によって発行された JWT がありますが、これでは不十分なようです。ユーザーから返された Auth0 プロファイルには access_token が含まれているようですが、これを送信しても機能しません。

Auth0 ログイン コードは次のようになります (Angular API を使用):

これはうまくいきます。彼らは私の組織の Auth0 アカウントに関連付けられた GitHub アプリケーションを、要求されたアクセス許可で問題なく承認し、私のアプリケーションに戻ります。その後、彼らの GitHub アカウントに関連付けられた Auth0 プロファイルにアクセスできますが、認証されたリクエストを彼らに代わって GitHub API:

... GitHub は、さまざまな変数に応じて、要求リソースが存在しない (プライベート データの漏洩を防ぐため) か、不適切な資格情報を提供した (Auth0 プロファイルで提供される「access_token」フィールドを提供しようとした場合) と言って、要求を拒否します。クエリ パラメータとして使用するか、Auth0 アプリケーションのクライアント シークレットを指定するなど）。

Auth0 と GitHub の両方のドキュメントを精査して、正しい手順が何であるかを把握しようとしました (たとえば、OAuth2 トークン フロー全体を自分で実装する必要がありますか? Auth0 がそれを実行する必要があるようです)。これまで試してみましたが、Google で正しい方向に向けられたものは何もありませんでした。これを行うために他の多くの方法を試しましたが、成功しませんでしたが、この投稿をあまり長くしたくありません. どんな助けでも大歓迎です。