サンプルコード
import {
Inject,
Injectable,
} from '@nestjs/common';
import { PassportStrategy } from '@nestjs/passport';
import { Request } from 'express';
import { passportJwtSecret } from 'jwks-rsa';
import { ExtractJwt, Strategy } from 'passport-jwt';
import { AppConfigService } from '@server/config/config.service';
import { JwtProviderClaim } from './types';
@Injectable()
export class JwtCognitoStrategy extends PassportStrategy(
Strategy,
'jwtCognito',
) {
constructor(
@Inject('AppConfigService')
private configService: AppConfigService,
) {
super({
jwtFromRequest: ExtractJwt.fromAuthHeaderAsBearerToken(),
ignoreExpiration: false,
algorithms: ['RS256'],
secretOrKeyProvider: passportJwtSecret({
cache: true,
rateLimit: true,
jwksRequestsPerMinute: 5,
jwksUri: `https://cognito-idp.${configService.get(
'aws.region',
)}.amazonaws.com/${configService.get(
'cognito.userPoolId',
)}/.well-known/jwks.json`,
}),
passReqToCallback: true,
});
}
public async validate(
req: Request,
payload: JwtProviderClaim,
): Promise<string> {
req.body = { sub: payload.sub };
return payload.sub;
}
}
import { ExecutionContext, Logger } from '@nestjs/common';
import { AuthGuard } from '@nestjs/passport';
export class JwtCognitoGuard extends AuthGuard('jwtCognito') {
constructor() {
super();
}
}
// 省略
@UseGuards(JwtCognitoGuard)
@Post('/login')
async login(
@Body() requestBody: LoginWithUserAuthRequestBody,
): Promise<MyAuthenticationResponse> {
// 処理
}
ConfigServiceは何だって人はこちら
困ること
AuthGuardを使うと、Strategy内部のエラーが握りつぶされることがあります。エラーにUnauthorizedという情報しか返さなくて、どのようなエラーが発生したのかわからないのです。
@nestjs/passportのauth.guard.jsの実装は以下の様になっており、errが存在するか、userがfalseになればエラーが投げられます。しかし、エラーの中には、infoにエラー内容が入っているものもあり、その際はエラー詳細がここで握りつぶされてしまいます。
handleRequest(err, user, info, context, status) {
if (err || !user) {
throw err || new common_1.UnauthorizedException();
}
return user;
}
実際に僕がハマったエラーは、JwtCognitoStrategyで、環境変数を入れ忘れていたことで、jwksライブラリがそんなAPI存在しないよというものでした。
export class JwtCognitoStrategy extends PassportStrategy(
Strategy,
'jwtCognito',
) {
private logger = new Logger(JwtCognitoStrategy.name);
constructor(
@Inject('AppConfigService')
private configService: AppConfigService,
) {
super({
jwtFromRequest: ExtractJwt.fromAuthHeaderAsBearerToken(),
ignoreExpiration: false,
algorithms: ['RS256'],
secretOrKeyProvider: passportJwtSecret({
cache: true,
rateLimit: true,
jwksRequestsPerMinute: 5,
jwksUri: `https://cognito-idp.${configService.get(
'aws.region',
)}.amazonaws.com/${configService.get(
'cognito.userPoolId', // 👈ここ 環境変数入れ忘れてた
)}/.well-known/jwks.json`,
}),
passReqToCallback: true,
});
}
}
このときhandleRequestには以下のような情報が渡されます。
handleRequest(null,false,{"message":"Bad Request","name":"JwksError"}, 省略)
第1引数がnullで、第2引数がfalseなので、これはエラーとして扱われます。しかし、エラーの内容が第3引数に入っています。
@nestjs/passportのauth.guard.jsの実装は以下の様になっており、errが存在するか、userがfalseになればエラーが投げられます。しかし、エラーの中には、infoにエラー内容が入っているものもあり、その際はエラー詳細がここで握りつぶされてしまいます。
handleRequest(err, user, info, context, status) {
if (err || !user) {
throw err || new common_1.UnauthorizedException();
}
return user;
}
そこで、この時点でログをとっておくことで、エラー内容を拾うことができます。独自のAuthGuardにhandleRequestを定義して、そこでログを取ります。そのあと親のメソッドに渡してあげます。
import { ExecutionContext, Logger } from '@nestjs/common';
import { AuthGuard } from '@nestjs/passport';
export class JwtCognitoGuard extends AuthGuard('jwtCognito') {
private logger = new Logger('JwtCognitoGuard');
constructor() {
super();
}
// 👇 追記
handleRequest(
...args: Parameters<
ReturnType<typeof AuthGuard>['prototype']['handleRequest']
>
) {
// エラーだけログに記録
// エラーとは、第1引数(err)があるか、第2引数(user)がfalseの場合
if (args[0] || !args[1]) {
this.logger.error(args);
}
return super.handleRequest(
args[0],
args[1],
args[2],
args[3] as any,
args[4],
);
}
}
こうすることで、無事に401エラーのデバッグができました!
株式会社TRAPE(トラピ)のテックブログです。株式会社TRAPEは、高齢者福祉で人材開発に取り組む企業で、「trapezoid」から名前が来ています。高齢者のwell-being実現のため、「NoRole NoLife」をミッションに、ケアワーカー育成や介護施設の生産性向上に努め、国や自治体事業にも関与しています。
Discussion