سياسة المصادقة الأساسية

أنت الآن بصدد الاطّلاع على مستندات Apigee Edge.
انتقِل إلى مستندات Apigee X. info

الأدوات المستخدمة

يتيح لك استخدام المصادقة الأساسية البسيطة لتوفير الأمان في المرحلة الأخيرة. تتلقّى السياسة اسم مستخدم وكلمة مرور، وتشفّرهما باستخدام Base64، ثم تكتب القيمة الناتجة في متغيّر. تكون القيمة الناتجة بالتنسيق Basic Base64EncodedString. عادةً ما تكتب هذه القيمة في عنوان HTTP، مثل عنوان Authorization.

تتيح لك السياسة أيضًا فك ترميز بيانات الاعتماد المخزَّنة في سلسلة مرمّزة بتنسيق Base64 إلى اسم مستخدم وكلمة مرور.

الفيديو: يوضّح هذا الفيديو كيفية ترميز اسم المستخدم وكلمة المرور باستخدام base64 استنادًا إلى سياسة المصادقة الأساسية.

الفيديو: يوضّح هذا الفيديو كيفية فك ترميز اسم مستخدم وكلمة مرور مشفّرَين بتشفير base64 باستخدام سياسة المصادقة الأساسية.

نماذج

الترميز الصادر

<BasicAuthentication name="ApplyBasicAuthHe>ader<"
   D>isplayNameApplyBasic<AuthHeader/D>ispl<ayName
  > Opera<tionEncode>/Ope<ration
   IgnoreUnresolve>dVari<ablesfalse/IgnoreUnresolve>dVar<iables
   User ref="credenti>als.<username" /
   Password ref=&quo>t;cr<edentials.password" />
   AssignTo createNew="<;false&qu>o<t;request.header.Aut>horization/AssignTo
/BasicAuthentication

في نموذج إعدادات السياسة أعلاه، يتم استخلاص اسم المستخدم وكلمة المرور المطلوب تشفيرهما من المتغيّرات المحدّدة بواسطة سمات ref في العنصرَين <User> و<Password>. يجب ضبط المتغيرات قبل تنفيذ هذه السياسة. عادةً، يتم ملء المتغيرات بقيم تتم قراءتها من خريطة مفتاح/قيمة. اطّلِع على سياسة عمليات خريطة القيم الرئيسية.

يؤدي هذا الإعداد إلى إضافة عنوان HTTP باسم Authorization، كما هو محدّد بواسطة العنصر <AssignTo>، إلى رسالة الطلب الصادر التي يتم إرسالها إلى خادم الخلفية:

Authorization: Basic TXlVc2VybmFtZTpNeVBhc3N3b3Jk

يتم ربط القيمتَين <User> و<Password> بعلامة نقطتين رأسيتين قبل الترميز باستخدام Base64.

لنفترض أنّ لديك خريطة مفتاح/قيمة تتضمّن الإدخال التالي:

{
  "encrypted" : true,
  "entry" : [ {
    "name" : "username",
    "value" : "MyUsername"
  }, {
    "name" : "password",
    "value" : "MyPassword"
  } ],
  "name" : "BasicAuthCredentials"
}

أرفِق سياسات KeyValueMapOperations التالية قبل سياسة BasicAuthentication لتتمكّن من استخراج قيم العنصرَين <User> و<Password> من مخزن المفتاح/القيمة وتعبئتها في المتغيّرات credentials.username وcredentials.password.

<KeyValueMapOperations name="getCredentials" mapIdentifier="BasicA>uth<Crede>ntials&q<uot;
 > Sc<opeapiproxy/Scope
  Get assignTo="creden>tials<.us>ername&<quot; ind>ex='<1'
   > Key
<    >  P<aram>ete<rusername/Parameter
    /Key
  /Get
  Get ass>ignTo<=&q>uot;cre<dentials.>password<" ind>ex=&#<39;1><9;
 > <  Key
      Parameterp>assword/Parameter
    /Key
  /Get
/KeyValueMapOperations

فك التشفير الوارد

<BasicAuthentication name="DecodeBaseAuthHea>ders<"
   D>isplayNameDecode Basic Authenticat<ion Header/D>ispl<ayName
  > Opera<tionDecode>/Ope<ration
   IgnoreUnresolve>dVari<ablesfalse/IgnoreUnresolve>dVar<iables
   User ref="request.hea>der.<username" /
   Password ref="r>eque<st.hea>der.password" /
   Sour<cereque>s<t.header.Authorizati>on/Source
/BasicAuthentication

في نموذج السياسة هذا، تفكّ السياسة ترميز اسم المستخدم وكلمة المرور من عنوان Authorization HTTP، كما هو محدّد بواسطة العنصر <Source>. يجب أن تكون السلسلة المرمّزة باستخدام Base64 بالتنسيق Basic Base64EncodedString.

تكتب السياسة اسم المستخدم الذي تم فك ترميزه في المتغير request.header.username وكلمة المرور التي تم فك ترميزها في المتغير request.header.password.

لمحة عن سياسة المصادقة الأساسية

تتضمّن السياسة وضعَين للعمليات:

  • الترميز: يُرمّز Base64 اسم المستخدم وكلمة المرور المخزّنتَين في المتغيّرات
  • فك الترميز: يفك ترميز اسم المستخدم وكلمة المرور من سلسلة مرمّزة باستخدام Base64

يتم عادةً تخزين اسم المستخدم وكلمة المرور في مخزن المفتاح/القيمة، ثم تتم قراءتهما من مخزن المفتاح/القيمة في وقت التشغيل. للحصول على تفاصيل حول استخدام مخزن المفتاح/القيمة، يُرجى الاطّلاع على سياسة عمليات خريطة المفتاح والقيمة.

مرجع العنصر

يصف مرجع العنصر عناصر وسمات سياسة BasicAuthentication.

<BasicAuthentication async="false" continueOnError="false" enabled="true"> nam<e="Bas>ic-Authentication-1&qu<ot;
   Displ>ayNa<meBasic A>uthent<ication 1/>Disp<layName
   OperationEncod>e/Ope<ration
   IgnoreUnresolved>Vari<ablesfalse/IgnoreUnresolvedVariab>les
<   User ref="credentials.usernam>e&qu<ot; /
   Password ref=&quo>t;credentials.password"< /
   Ass>ignT<o crea>teNew="false"reque<st.head>er<.Authorization/Assig>nTo
   Sourcerequest.header.Authorization/Source 
/BasicAuthentication

سمات <BasicAuthentication>

<BasicAuthentication async="false" continueOnError="false" enabled="true"> name="Basic-Authentication-1"

يصف الجدول التالي السمات المشتركة بين جميع العناصر الرئيسية للسياسة:

السمة الوصف تلقائي التواجد في المنزل
name

الاسم الداخلي للسياسة. يمكن لقيمة السمة name أن تحتوي على أحرف وأرقام ومسافات وواصلات وشرطات سفلية ونقاط. لا يمكن لهذه القيمة يتجاوز 255 حرفًا.

يمكنك، إذا أردت، استخدام العنصر <DisplayName> لتصنيف السياسة محرر الخادم الوكيل لواجهة مستخدم الإدارة باسم مختلف بلغة طبيعية.

 لا ينطبق مطلوب
continueOnError

اضبط القيمة على false لعرض رسالة خطأ عند تعذُّر تنفيذ سياسة. هذا متوقّع السلوك في معظم السياسات.

يمكنك ضبط القيمة على true لمواصلة تنفيذ المسار حتى بعد تطبيق إحدى السياسات. فشل.

 خطأ اختياري
enabled

اضبط القيمة على true لفرض السياسة.

اضبط القيمة على false من أجل إيقاف السياسة. لن تكون السياسة ويتم فرضها حتى لو ظلت مرتبطة بتدفق.

 صحيح اختياري
async

تم إيقاف هذه السمة نهائيًا.

 خطأ منهي العمل به

&lt;DisplayName&gt; عنصر

استخدِمه مع السمة name لتصنيف السياسة في إدارة خادم وكيل لواجهة المستخدم باسم مختلف بلغة طبيعية.

<DisplayName>Policy Display Name</DisplayName>
تلقائي

لا ينطبق

إذا لم تستخدم هذا العنصر، سيتم ضبط قيمة السمة name للسياسة على النحو التالي: استخدام البيانات المختلفة.
التواجد في المنزل اختياري
النوع سلسلة

عنصر <Operation>

تحدّد ما إذا كانت سياسة Base64 ترمّز بيانات الاعتماد أو تفكّ ترميزها.

<Operation>Encode</Operation>
القيمة التلقائية: لا ينطبق
الحضور: مطلوب
النوع:

سلسلة.

تشمل القيم الصالحة ما يلي:

  • ترميز
  • Decode

عنصر <IgnoreUnresolvedVariables>

عند ضبطها على true، لن تعرض السياسة رسالة خطأ إذا تعذّر تحليل متغيّر. عند استخدام هذا الإعداد في سياق سياسة BasicAuthentication، يتم عادةً ضبطه على false لأنّه من المفيد بشكل عام عرض خطأ إذا لم يتم العثور على اسم مستخدم أو كلمة مرور في المتغيرات المحدّدة.

<IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
القيمة التلقائية: صحيح
الظهور: اختياري
النوع:

منطقي

العنصر <User>

  • بالنسبة إلى الترميز، استخدِم العنصر <User> لتحديد المتغير الذي يحتوي على اسم المستخدم. يتم ربط قيم اسم المستخدم وكلمة المرور بنقطتين رأسيتين قبل ترميز Base64.
  • لإجراء فك التشفير، حدِّد المتغيّر الذي تتم كتابة اسم المستخدم الذي تم فك تشفيره فيه.
<User ref="credentials.userna>me" /
القيمة التلقائية: لا ينطبق
الحضور: مطلوب
النوع:

لا ينطبق

السمات

السمة الوصف تلقائي التواجد في المنزل
ref

المتغير الذي تقرأ منه السياسة اسم المستخدم ديناميكيًا (ترميز) أو تكتب فيه اسم المستخدم (فك ترميز).

 لا ينطبق مطلوب

عنصر <Password>

  • بالنسبة إلى الترميز، استخدِم العنصر <Password> لتحديد المتغيّر الذي يحتوي على كلمة المرور.
  • بالنسبة إلى فك الترميز، حدِّد المتغيّر الذي تتم كتابة كلمة المرور التي تم فك ترميزها فيه.
<Password ref="credentials.passwo>rd" /
القيمة التلقائية: لا ينطبق
الحضور: مطلوب
النوع:

لا ينطبق

السمات

السمة الوصف تلقائي التواجد في المنزل
ref

المتغير الذي تقرأ منه السياسة كلمة المرور (ترميز) أو تكتب فيه كلمة المرور (فك ترميز) بشكل ديناميكي.

 لا ينطبق مطلوب

العنصر <AssignTo>

بالنسبة إلى عملية Encode، تحدّد هذه السمة المتغيّر المستهدَف الذي سيتم ضبطه باستخدام القيمة المشفرة التي تم إنشاؤها بواسطة هذه السياسة.

يوضّح المثال التالي أنّ السياسة يجب أن تضبط عنوان Authorization الرسالة على القيمة التي تم إنشاؤها:

<AssignTo createNew="f>alse"request.header.Aut<horizatio>n/AssignTo
القيمة التلقائية: لا ينطبق
الظهور: مطلوب لإجراء عملية Encode.
النوع:

سلسلة

السمات

السمة الوصف تلقائي التواجد في المنزل
createNew تحدِّد هذه السمة ما إذا كان يجب أن تلغي السياسة المتغيّر إذا كان قد تم ضبطه مسبقًا.

عندما تكون القيمة "false"، لا يتم تعيين المتغير إلا إذا كان غير مضبوط حاليًا (قيمة فارغة).

عندما تكون القيمة "صحيح"، يتم دائمًا تعيين القيمة للمتغيّر.

عادةً ما تضبط هذه السمة على "false" (القيمة التلقائية).

 خطأ اختياري

العنصر <Source>

لإجراء فك الترميز، يجب استخدام المتغير الذي يحتوي على السلسلة المرمّزة بتنسيق Base64، وذلك بالشكل Basic Base64EncodedString. على سبيل المثال، حدِّد request.header.Authorization، بما يتوافق مع العنوان Authorization.

<Source>request.header.Authorization</Source>
القيمة التلقائية: لا ينطبق
الظهور: مطلوب لعملية فك التشفير.
النوع:

لا ينطبق

متغيرات التدفق

يتم ضبط متغيّر التدفق التالي عند تعذُّر تنفيذ السياسة:

  • BasicAuthentication.{policy_name}.failed (بقيمة "صحيح")

مرجع الخطأ

This section describes the fault codes and error messages that are returned and fault variables that are set by Edge when this policy triggers an error. This information is important to know if you are developing fault rules to handle errors. To learn more, see What you need to know about policy errors and Handling faults.

Runtime errors

These errors can occur when the policy executes.

Fault code HTTP status Cause Fix
steps.basicauthentication.InvalidBasicAuthenticationSource 500 On a decode when the incoming Base64 encoded string does not contain a valid value or the header is malformed (e.g., does not start with "Basic").
steps.basicauthentication.UnresolvedVariable 500 The required source variables for the decode or encode are not present. This error can only occur if IgnoreUnresolvedVariables is false.

Deployment errors

These errors can occur when you deploy a proxy containing this policy.

Error name Occurs when Fix
UserNameRequired The <User> element must be present for the named operation.
PasswordRequired The <Password> element must be present for the named operation.
AssignToRequired The <AssignTo> element must be present for the named operation.
SourceRequired The <Source> element must be present for the named operation.

Fault variables

These variables are set when a runtime error occurs. For more information, see What you need to know about policy errors.

Variables Where Example
fault.name="fault_name" fault_name is the name of the fault, as listed in the Runtime errors table above. The fault name is the last part of the fault code. fault.name Matches "UnresolvedVariable"
BasicAuthentication.policy_name.failed policy_name is the user-specified name of the policy that threw the fault. BasicAuthentication.BA-Authenticate.failed = true

Example error response

{  
   "fault":{  
      "detail":{  
         "errorcode":"steps.basicauthentication.UnresolvedVariable"
      },
      "faultstring":"Unresolved variable : request.queryparam.password"
   }
}

Example fault rule

<FaultRule name="Basic Authentication Faults">
    <Step>
        <Name>AM-UnresolvedVariable</Name>
        <Condition>(fault.name Matches "UnresolvedVariable") </Condition>
    </Step>
    <Step>
        <Name>AM-AuthFailedResponse</Name>
        <Condition>(fault.name = "InvalidBasicAuthenticationSource")</Condition>
    </Step>
    <Condition>(BasicAuthentication.BA-Authentication.failed = true) </Condition>
</FaultRule>

المخططات

مواضيع ذات صلة

سياسة عمليات Key Value Map