Auth0:条件多因素规则从 JWT 中删除权限

Posted

技术标签:

【中文标题】Auth0:条件多因素规则从 JWT 中删除权限【英文标题】:Auth0: Conditional multi-factor rule removes permissions from JWT 【发布时间】:2021-06-03 10:26:03 【问题描述】:

由于某种原因,启用 MFA(短信代码)会从 JWT(访问令牌)中删除权限。我已经检查了几次设置,一切似乎都正常,但是对于没有 MFA 的同一个帐户,JWT 中显示的权限,启用了 MFA - 不。 (我不使用webauth

我找到了这 3 个主题:

Access token is missing permissions when using MFA Permissions not included in access token for MFA flow Conditional multi-factor rule removes permissions from JWT

而且我认为我们有同样的问题(链接没有答案)。

规则代码如下:

    const userEnrolledFactors = user.multifactor || [];
    const canPromptMfa = userEnrolledFactors.length > 0;

    if(canPromptMfa) 
      context.multifactor = 
        provider: "any",
        allowRememberBrowser: false,
      ;
    

【问题讨论】:

【参考方案1】:

问题出在Auth0 方面。现在它已经修复站在他们这边

【讨论】:

以上是关于Auth0:条件多因素规则从 JWT 中删除权限的主要内容,如果未能解决你的问题,请参考以下文章

@auth0/angular-jwt : 从解码的令牌中获取声明

如何从 auth0 中的访问令牌中获取 jwt 令牌

如何安全地保存从 auth0 登录收到的 JWT 令牌(nodejs express)

Auth0 - 验证 JWT

登陆权限--token 的生成和验证

登陆权限--token 的生成和验证