У меня есть SPA, который использует неявный поток для получения access_token.В бэкэнд-API проверка access_token работает нормально, однако, когда я включаю groups.includes в assertClaims, я получаю ошибку 401.Я уже добавил пользователя в эту новую группу из консоли Okta dev.
Фрагменты моего кода:
oktaJwtVerifier.verifyAccessToken(accessToken)
.then((jwt) => {
req.jwt = jwt;
next();
})
.catch((err) => {
res.status(401).send(err.message);
});
не работает, если assertClaims включают группы:
const oktaJwtVerifier = new OktaJwtVerifier({
clientId: 'some_SPA_clientId',
issuer: 'https://dev-123456.okta.com/oauth2/default',
assertClaims: {
'groups.includes': ['TestAnotherGroup'],
aud: 'api://default',
cid: 'some_SPA_clientId'
},
testing: true
});
Если я удаляю groups.includesв assertClaims он работает нормально, и я могу получить доступ к API с тем же пользователем.
Работа с этим:
assertClaims: {
aud: 'api://default',
cid: 'some_SPA_clientId'
}
Как я могу разрешить доступ к API, только если пользователь принадлежит копределенная группа.