Auth dan Token Bootstrap
Fitur bootstrap auth dan token menentukan bagaimana Inbox Manager menerima kepercayaan dari auth.inbox-manager.com dan menerapkannya ke setiap permintaan API.
Ini memberi Anda otorisasi berbasis akun sehingga setiap panggilan berjalan untuk akun dan peran yang tepat.
Mengapa Ini Penting
Fitur ini memverifikasi identitas dan cakupan token sebelum penanganan bisnis dijalankan, menjaga otorisasi tetap ketat dan dapat diprediksi. Hal ini juga menjaga batas yang jelas antara penerbitan token domain autentikasi dan endpoint Inbox Manager sekaligus menjaga konsistensi pemeriksaan akun dan peran di seluruh rute yang dilindungi.
Aliran Inti
Klien masuk di auth.inbox-manager.com, mendapatkan token, dan mendapatkan token akun bila diperlukan. Inbox Manager memverifikasi penerbit, audiens, tanda tangan, dan klaim yang diperlukan, lalu menjalankan permintaan untuk akun dan peran token; token yang tidak valid atau tidak lengkap ditolak sebelum logika fitur dijalankan.
Operasi
| Operasi | Endpoint | Tujuan |
|---|---|---|
| Masuk (eksternal) | POST https://auth.inbox-manager.com/auth/sign-in | Otentikasi pengguna dan mulai siklus hidup token |
| Penerbitan token OAuth (eksternal) | POST https://auth.inbox-manager.com/oauth2/token | Terbitkan token untuk klien publik atau backend |
| Penerbitan token akun (eksternal) | POST https://auth.inbox-manager.com/api/accounts/:account_id/token | Menerbitkan token cakupan akun untuk panggilan API |
| Discovery JWKS (eksternal) | GET https://auth.inbox-manager.com/.well-known/jwks.json | Ambil kunci penandatanganan untuk verifikasi JWT |
| Discovery OIDC (eksternal) | GET https://auth.inbox-manager.com/.well-known/openid-configuration | Ambil metadata OAuth/OIDC untuk klien |
| Proxy langganan owner | GET /api/subscriptions dan /api/subscriptions* terkait | Jalankan langganan pemilik dan rencanakan tindakan melalui rute proksi resmi |
Data dan Status Utama
| Klaim | Peran di Inbox Manager |
|---|---|
uid | Mengidentifikasi pengguna yang bertindak |
app | Mengidentifikasi id aplikasi dalam token |
acc | Memilih akun untuk operasi resmi |
role | Membatasi kemampuan tingkat akun |
aud | Harus sesuai dengan audience Inbox Manager yang diharapkan |
iss | Harus cocok dengan penerbit token yang dikonfigurasi |
Mode dan Kontrol Kegagalan
Tanda tangan yang tidak valid, ketidakcocokan penerbit/audiens, dan hilangnya klaim yang diperlukan menyebabkan penolakan langsung, bukan perilaku fallback yang tersirat. Ketidakcocokan token/akun pada rute cakupan akun diblokir untuk mencegah akses lintas akun, dan kegagalan ketergantungan domain autentikasi tidak mengabaikan persyaratan verifikasi.
Terkait
Akun, Keanggotaan, 01-auth-and-token-bootstrap, 10-auth-backend-admin-flow.