问题[authentication](coding)

我正在构建一个全栈移动应用程序，使用 Appwrite 进行身份验证和后端服务。前端与一个自定义 API 网关通信，该网关将请求代理到各个微服务。

目前，我正在使用 Appwrite 的 account.createJWT() 来验证用户身份，但 JWT 令牌每 15 分钟就会过期一次。频繁刷新令牌对于我的应用程序来说不可扩展，尤其是在用户群增长的情况下。因此，我正在尝试使用会话验证来代替 JWT。

我面临的问题是：如何使用 Appwrite 会话正确地验证对 API 网关的前端请求？

环境详情：

Backend API gateway is built with FastAPI

Appwrite version: cloud

Frontend framework: React Native 

我的问题是：

What is the correct way to validate Appwrite user sessions from a backend service (API gateway) without using the frontend SDKs?

Is it possible to securely authenticate frontend requests to a custom backend using only Appwrite sessions (without using short-lived JWTs)?

If not, what would be the best scalable approach for authenticating requests in this setup?

任何建议、推荐流程或示例都将不胜感激！

以下是我尝试过的方法：

I retrieve the user session on the frontend (account.get() gives me session info).

I send the session ID (or the Appwrite cookie) along with API requests to my gateway.

On the backend (in the API gateway), I try to validate the session by using the Appwrite Server SDK (account.getSession(sessionId)).

However, sometimes I get errors like:
Unauthorized: User is missing "account" scope.

我创建了一个测试应用程序来展示使用 Blazor Hybrid 与 .NET MAUI（.net 9）以及用户的AuthenticationState 时出现的问题。

我在 github 上的测试项目：https://github.com/tPeif/blazorhybrid_authProblem

有两个组件ArticleCategoryComponentExtra和ArticleCategoryHtmlComponent。内容包裹在 中AuthorizeView。两个组件都显示现有文章类别的列表，并应显示一个弹出窗口ArticeCategory，通过单击 id 为 的按钮来添加新类别addCategorybtn。

完成模式并单击保存按钮后，SaveDetail将调用该函数。

 private async Task SaveDetail()
 {
     // user is logged in
     var ok = await CheckAuthentication();

     try
     {
         await ArticleCategoryService.Add(_selectedDetail);

         // user is logged in
         var ok1 = await CheckAuthentication();

         await Load();

         // user is logged in
         var ok2 = await CheckAuthentication();

         ShowCategoryDetail = false;

         var ok3 = await CheckAuthentication();
     }
     catch (Exception ex)
     {

         string action = _selectedDetail.Id == 0 ? "add" : "update";

         _logger.LogError(ex, "Cannot {action} the category '{categoryName}'", action, _selectedDetail.Name);
     }
 }

 [Inject]
 public AuthenticationStateProvider AuthenticationStateProvider { get; set; } = default!;

 private async Task<bool> CheckAuthentication()
 {
     var authState = await AuthenticationStateProvider.GetAuthenticationStateAsync();
     var user = authState.User;

     if (!user.Identity.IsAuthenticated)
     {
         // Redirect to login or show an error message
         _logger.LogError("User not logged in anymore");

         return false;
     }

     return true;
 }

如你所见，我多次检查当前的 authenticationState。函数结束时，用户已登录，模态框被移除。

页面生命周期事件被调用多次以更新页面，但某一时刻 OnInitialized 再次被调用，这意味着（至少对我来说）页面被完全重新渲染，而这是用户不再登录的时刻。

有谁知道为什么应用程序会这样运行以及我应该怎么做才能避免用户注销？

我需要帮助来了解身份验证/授权流程的工作原理。我正在参考我目前正在使用的特定技术，但我不太需要技术方面的帮助（尽管如果可以的话我会很感激），而是需要一般性的理解。

我有一个 docker compose 设置（也在生产中使用 kuberentes 集群，因此任何参考都可以）。在该设置中，我将 Traefik 作为我的反向代理。我将 Keycloak 作为我的身份提供者。我想设置中间件，以便入口路由可以受到 Keycloak 的保护。我决定选择 oauth2-proxy 作为该中间件。我尝试设置 oauth2-proxy。以下是一些示例代码：

name: example
services:
  traefik:
    image: traefik:v2.10
    command:
      - "--api.insecure=true"
      - "--providers.docker=true"
      - "--entryPoints.web.address=:80"
      - "--entryPoints.websecure.address=:443"
      - "--providers.docker.exposedByDefault=false"
    ports:
      - "80:80"
      - "443:443"
      - "8082:8080" # Traefik dashboard
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
    depends_on:
      - keycloak
      - oauth2-proxy

  keycloak:
    container_name: keycloak
    image: quay.io/keycloak/keycloak:26.0.2
    environment:
      KC_HTTP_RELATIVE_PATH: "/auth"
      KC_BOOTSTRAP_ADMIN_USERNAME: "admin"
      KC_BOOTSTRAP_ADMIN_PASSWORD: "admin"
    command: "start-dev"
    labels:
      - "traefik.enable=true"
      # keycloak will be available at localhost/auth
      - "traefik.http.routers.keycloak.rule=PathPrefix(`/auth`)"
      - "traefik.http.services.keycloak.loadbalancer.server.port=8080"

  oauth2-proxy:
    image: quay.io/oauth2-proxy/oauth2-proxy:v7.7.0
    environment:
      - OAUTH2_PROXY_PROVIDER=keycloak-oidc
      - OAUTH2_PROXY_CLIENT_ID=${CLIENT}
      - OAUTH2_PROXY_CLIENT_SECRET=${CLIENT_SECRET}
      - OAUTH2_PROXY_EMAIL_DOMAINS=*
      - OAUTH2_PROXY_UPSTREAMS=static://202
      - OAUTH2_PROXY_HTTP_ADDRESS=0.0.0.0:4180
      - OAUTH2_PROXY_REDIRECT_URL=http://localhost/oauth2/callback
      - OAUTH2_PROXY_OIDC_ISSUER_URL=http://keycloak:8080/auth/realms/${REALM}
      - OAUTH2_PROXY_WHITELIST_DOMAIN=localhost
      - OAUTH2_PROXY_REVERSE_PROXY=true
      - OAUTH2_PROXY_OIDC_EXTRA_AUDIENCES=account,${CLIENT}
      - OAUTH2_PROXY_COOKIE_SECRET="12345678123456"
      - OAUTH2_PROXY_COOKIE_EXPIRE=5m
      - OAUTH2_PROXY_CODE_CHALLENGE_METHOD=S256
      - OAUTH2_PROXY_SKIP_PROVIDER_BUTTON=true
    depends_on:
      - keycloak
    labels:
      - "traefik.enable=true"
      - "traefik.http.middlewares.oauth2-proxy.forwardauth.address=http://oauth2-proxy:4180"
      - "traefik.http.middlewares.oauth2-proxy.forwardauth.authResponseHeaders=Authorization"
      - "traefik.http.routers.oauth2-proxy.rule=PathPrefix(`/oauth2`)"
      - "traefik.http.services.oauth2-proxy.loadbalancer.server.port=4180"

  myapp:
    ...
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.myapp.rule=PathPrefix(`/`)"
      - "traefik.http.routers.myapp.entrypoints=web,websecure"
      - "traefik.http.services.myapp.loadbalancer.server.port=8080"
      - "traefik.http.routers.myapp.middlewares=oauth2-proxy@docker"

我遇到的第一个问题是发行者 URL，我在尝试其他中间件时也遇到了这个问题

- OAUTH2_PROXY_OIDC_ISSUER_URL=http://keycloak:8080/auth/realms/${REALM}

如果我将其与 一起使用keycloak:8080，oauth2-proxy则连接没有问题。但是，当我的用户访问 时myapp，localhost/他们被重定向到使用 URL 的登录名keycloak:8080，当然他们无权访问该 URL。

好的，那么如果我将发行者 URL 改为localhost/auth/...，那么 oauth2-proxy 将无法初始化，因为它现在无权访问该 URL。

我的第一个问题是，当服务器/后端通过与用户不同的 URL 访问身份提供者时，我该如何解决这个问题？如果我使用第三方 IDP，这不会有问题，但当然事实并非如此。我觉得我在这里有一些关键的误解。无论我使用哪种中间件，是否有不同的设置方法？

继续，我最终可以通过强制 oauth2-proxy 使用正确的 URL 来使其工作，这是 oauth2-proxy 的工作设置。我还添加了一些标头传递，这与我的下一个问题有关。

    environment:
      - OAUTH2_PROXY_PROVIDER=keycloak-oidc
      - OAUTH2_PROXY_SKIP_OIDC_DISCOVERY=true
      # Client Side URL
      - OAUTH2_PROXY_LOGIN_URL=http://localhost/auth/realms/${REALM}/protocol/openid-connect/auth
      # Server Side URLs
      - OAUTH2_PROXY_REDEEM_URL=http://keycloak:8080/auth/realms/${REALM}/protocol/openid-connect/token
      - OAUTH2_PROXY_PROFILE_URL=http://keycloak:8080/auth/realms/${REALM}/protocol/openid-connect/userinfo
      - OAUTH2_PROXY_VALIDATE_URL=http://keycloak:8080/auth/realms/${REALM}/protocol/openid-connect/userinfo
      - OAUTH2_PROXY_OIDC_JWKS_URL=http://keycloak:8080/auth/realms/${REALM}/protocol/openid-connect/certs
      - OAUTH2_PROXY_CLIENT_ID=${CLIENT}
      - OAUTH2_PROXY_CLIENT_SECRET=${CLIENT_SECRET}
      - OAUTH2_PROXY_EMAIL_DOMAINS=*
      - OAUTH2_PROXY_UPSTREAMS=static://202
      - OAUTH2_PROXY_HTTP_ADDRESS=0.0.0.0:4180
      - OAUTH2_PROXY_REDIRECT_URL=http://localhost/oauth2/callback
      - OAUTH2_PROXY_OIDC_ISSUER_URL=http://localhost/auth/realms/${REALM}
      - OAUTH2_PROXY_WHITELIST_DOMAIN=localhost
      - OAUTH2_PROXY_REVERSE_PROXY=true
      - OAUTH2_PROXY_OIDC_EXTRA_AUDIENCES=account,${CLIENT}
      - OAUTH2_PROXY_COOKIE_SECRET="12345678123456"
      - OAUTH2_PROXY_COOKIE_EXPIRE=5m
      - OAUTH2_PROXY_CODE_CHALLENGE_METHOD=S256
      - OAUTH2_PROXY_SKIP_PROVIDER_BUTTON=true
      # Headers
      - OAUTH2_PROXY_SET_AUTHORIZATION_HEADER=true
      - OAUTH2_PROXY_SET_XAUTHREQUEST=true
      - OAUTH2_PROXY_PASS_AUTHORIZATION_HEADER=true
      - OAUTH2_PROXY_PASS_USER_HEADERS=true

很好，现在它处于工作状态，尽管有很多硬编码 URL，并且不再使用端点/.well-known。我不喜欢它。如果我想添加其他中间件（比如说，只允许某些组/角色访问），我必须进行另一个巨大的设置才能使其工作，只需有 1-2 行不同/添加即可。不是很 DRY- 我倾向于我在这里做错了什么。

假设我想访问 auth 标头（这可能是 oauth2-proxy 特定的问题），即使我可以找到与设置为 true 的标头相关的任何内容，但当我转到浏览器开发控制台 > 网络并检查标头时，我找不到任何此类标头。

下一个问题是，我如何访问（甚至使用）这些标头？它们在我没有注意到的地方吗？它们是否编码在 cookie 中？假设myapp是一个简单的前端 Web 应用程序，但我希望它显示已登录用户的电子邮件和/或用户名。我应该如何使用它们？深入一点，这些标头有多可信？例如，如果我想在 中使用 Authorization 标头进行逻辑处理myapp2，在验证 JWT 后我可以信任这些值吗？

我正在学习如何对我的 Web 应用程序使用基于会话的身份验证，但我不确定应该在会话中存储什么类型的数据。

用户登录后，我需要在会话中保留哪些信息？我应该存储用户密码之类的信息还是只存储他们的 ID？

我正在使用 PKCE 为我的 CLI 应用程序实现授权码授予流程 https://datatracker.ietf.org/doc/html/rfc8252#section-8.1

我从 CLI 启动了一个环回服务器来等待来自我的身份验证服务器的授权码：

$ mytool login
$ please visit: mysitethattalkstomyauthserver.com?local_port=65200
$ … awaiting auth code …

它运行正常，但我对代码验证器有疑问。我想让我的用户只需单击上面的 URL，然后让我的网站处理对身份验证代码的初始请求。但我需要初始请求中的代码验证器哈希。我应该从客户端 CLI 工具而不是我的网站生成它。

那么，我是否需要将该哈希值粘贴到用户点击的原始 URL 中？

$ please visit site.com?port=65200&challenge=<hash>

现在我有一个只有站点调用的实现

localhost:65200/code_challenge

并且 cli 提供了它生成的代码哈希。但这安全吗？需要额外执行调用本地环回服务器这一步骤来获取代码质询吗？

这里的目的是让用户点击的 URL 尽可能简单易读

由于以下行，当使用 OAuth 提供程序时，ServiceStackJwtAuthProvider会创建一个刷新令牌，该令牌的主题声明（“sub”）设置为会话标识符，而不是用户身份验证标识符JwtAuthProvider.cs：

var refreshToken = CreateJwtRefreshToken(authContext.Request, authContext.Session.Id, ExpireRefreshTokensIn);

有没有办法将会话标识符映射到用户身份验证标识符，因为这是传递给IUserSessionSourceAsync.GetUserSessionAsync我们需要补充用户会话的实现的标识符？

我正在使用 Next.js 14.2.5、tRPC 和 Next-auth 5.0.0-beta.20（或 Auth.js）制作一个应用程序进行身份验证。用户登录应用程序后，我想将他重定向到另一个页面，但是，当我尝试这样做时，会出现 NEXT_REDIRECT 错误，应用程序什么也不做。据我所知，这个错误是预料之中的，你应该把它抛到 catch 块的末尾，这样 next.js 就可以继续重定向，但这是行不通的。

这是我用于登录的 tRPC 端点的代码：

loginProcedure: publicProcedure.input(LoginSchema).mutation(async (opts) => {
    const { input } = opts;
    const validatedFields = LoginSchema.safeParse(input);
    if (!validatedFields.success) {
      throw new TRPCError({ code: "PARSE_ERROR" }); //"invalid fields"
    }
    const { email, password } = validatedFields.data;
    try {
      await signIn("credentials", {
        email,
        password,
        redirectTo: DEFAULT_LOGIN_REDIRECT,
      });
    } catch (error) {
      if (error instanceof AuthError) {
        switch (error.type) {
          case "CredentialsSignin":
            throw new TRPCError({
              code: "UNAUTHORIZED",
              message: "Invalid credentials",
            });

          default:
            throw new TRPCError({
              code: "UNAUTHORIZED",
              message: "Something went wrong",
            });
        }
      }
      console.log(error)
      throw error;
    }
  }),  

这是我的 middleware.ts

import { auth } from "@/auth";
import {
  DEFAULT_LOGIN_REDIRECT,
  apiAuthPrefix,
  authRoutes,
  publicRoutes,
} from "@/routes";

export default auth((req) => {
  const { nextUrl } = req;
  const isLoggedIn = !!req.auth;

  const isApiAuthRoute = nextUrl.pathname.startsWith(apiAuthPrefix);
  const isPublicRoute = publicRoutes.includes(nextUrl.pathname);
  const isAuthRoute = authRoutes.includes(nextUrl.pathname);

  if (isApiAuthRoute) {
    return ;
  }
  if(isAuthRoute){
    if (isLoggedIn){
      return Response.redirect(new URL(DEFAULT_LOGIN_REDIRECT, nextUrl))
    }
    return ;
  }
  if(!isLoggedIn && !isPublicRoute){
    return Response.redirect(new URL("/login", nextUrl))
  }
});

export const config = {
  matcher: [
    // Skip Next.js internals and all static files, unless found in search params
    "/((?!_next|[^?]*\\.(?:html?|css|js(?!on)|jpe?g|webp|png|gif|svg|ttf|woff2?|ico|csv|docx?|xlsx?|zip|webmanifest)).*)",
    // Always run for API routes
    "/(api|trpc)(.*)",
  ],
};

如果我输入了正确的凭据，登录就不会出现问题，我可以获取当前会话，但重定向永远不会发生。这是 Next.js 错误还是我遗漏了什么？

我也尝试了几种解决方案，主要是这个 github 线程中的那些。

我是 NestJS 的新手，我正在尝试创建一个基于 JWT 的身份验证系统。我想生成一个 JWT 令牌并在服务器端管理它。我在前端使用 Next.js，所以我想知道我是否可以使用 Next.js API 路由来保护我的 NestJS API 端点，同时处理 NestJS API 生成的 JWT 令牌。这种方法会不会过度设计？我的主要目的是从客户端隐藏 JWT/用户令牌。感谢任何帮助！🙏

我尝试使用 clerk 安装 authMiddleware 以获得教程，但收到错误消息，指出它不存在。

我正在为本教程安装 clerk：https://www.youtube.com/watch?v =a02JAryRPVU ，然后运行 ​​npm install @clerk/nextjs。

然后我输入此代码以使用 authMiddleware 启用身份验证

import { authMiddleware } from "@clerk/nextjs";

export default authMiddleware({});

export const config = {
  matcher: ["/((?!.+.[w]+$|_next).*)", "/", "/(api|trpc)(.*)"],
};

但我收到一个错误，说模块“@clerk/nextjs”没有导出成员“authMiddleware”。

通过 localhost 运行代码时，出现此错误： TypeError: (0 , clerk_nextjs__WEBPACK_IMPORTED_MODULE_0 _.authMiddleware) 不是函数

我不知道如何解决这个问题，任何帮助将不胜感激。

我正在尝试获取刷新令牌并使用它来颁发访问令牌，但生成访问令牌的请求不起作用。

我正在调用此 API 来获取刷新令牌：

网址： https: //accounts.google.com/o/oauth2/v2/auth (GET)

    var params = {'client_id': '{MY_CLIENT_ID}',
                  'redirect_uri': '{MY_REDIRECT_URI}',
                  'response_type': 'code',
                  'scope': 'https://mail.google.com/',
                  'access_type': 'offline',
                  'prompt': 'consent'};

此请求正常工作并生成令牌，但是当我尝试获取访问令牌时，请求失败并显示以下错误消息：

{
    "error": "invalid_grant",
    "error_description": "Bad Request"
}

这是我获取访问令牌的请求：
URL： https: //accounts.google.com/o/oauth2/token (POST)

x-www-form-urlencoded BODY: grant_type="refresh_token", client_id={MY_CLIENT_ID}, client_secret={MY_CLIENT_SECRET}, refresh_token={THE TOKEN I JUST GOT}

这是我在 Postman 中请求的屏幕截图。