Stai visualizzando la documentazione di Apigee Edge.
Vai alla
documentazione di Apigee X. informazioni
Cosa
Consente di utilizzare l'autenticazione di base leggera per la sicurezza dell'ultimo miglio. Il criterio prende un nome utente e una password, li codifica in Base64 e scrive il valore risultante in una variabile. Il valore risultante è nel formato Basic
Base64EncodedString
. In genere questo valore viene scritto in un'intestazione HTTP, come l'intestazione Authorization.
Il criterio consente inoltre di decodificare le credenziali memorizzate in una stringa codificata Base64 in un nome utente e una password.
Video: questo video mostra come codificare in base64 un nome utente e una password utilizzando il criterio di autenticazione di base.
Video: questo video mostra come decodificare un nome utente e una password codificati in base64 utilizzando il criterio di autenticazione di base.
Samples
Codifica in uscita
<BasicAuthentication name="ApplyBasicAuthHeader"> <DisplayName>ApplyBasicAuthHeader</DisplayName> <Operation>Encode</Operation> <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables> <User ref="BasicAuth.credentials.username" /> <Password ref="BasicAuth.credentials.password" /> <AssignTo createNew="false">request.header.Authorization</AssignTo> </BasicAuthentication>
Nella configurazione dei criteri di esempio riportata sopra, il nome utente e la password da codificare derivano dalle variabili specificate dagli attributi ref
negli elementi <User>
e <Password>
. Le variabili devono essere impostate prima dell'esecuzione di questo criterio. In genere, le variabili sono compilate da valori che vengono letti da una mappa chiave/valore. Consulta le norme relative alle operazioni
di mappatura delle coppie chiave-valore.
Questa configurazione determina l'aggiunta dell'intestazione HTTP denominata Authorization, come specificato dall'elemento <AssignTo>, al messaggio di richiesta in uscita inviato al server di backend:
Authorization: Basic TXlVc2VybmFtZTpNeVBhc3N3b3Jk
I valori <User>
e <Password>
sono concatenati con due punti prima della codifica Base64.
Considera di avere una mappa chiave/valore con la seguente voce:
{ "encrypted" : true, "entry" : [ { "name" : "username", "value" : "MyUsername" }, { "name" : "password", "value" : "MyPassword" } ], "name" : "BasicAuthCredentials" }
Collega i seguenti criteri KeyValueMapOperations prima del criterio BasicAutenticazione per poter estrarre i valori degli elementi <User>
e <Password>
dall'archivio chiave/valore e completarli nelle variabili credentials.username
e credentials.password
.
<KeyValueMapOperations name="getCredentials" mapIdentifier="BasicAuthCredentials"> <Scope>apiproxy</Scope> <Get assignTo="credentials.username" index='1'> <Key> <Parameter>username</Parameter> </Key> </Get> <Get assignTo="credentials.password" index='1'> <Key> <Parameter>password</Parameter> </Key> </Get> </KeyValueMapOperations>
Decodifica in entrata
<BasicAuthentication name="DecodeBaseAuthHeaders"> <DisplayName>Decode Basic Authentication Header</DisplayName> <Operation>Decode</Operation> <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables> <User ref="request.header.username" /> <Password ref="request.header.password" /> <Source>request.header.Authorization</Source> </BasicAuthentication>
In questo esempio di criterio, il criterio decodifica il nome utente e la password dall'intestazione HTTP Authorization
, come specificato dall'elemento <Source>. La stringa codificata Base64 deve essere nel formato Basic Base64EncodedString.
Il criterio scrive il nome utente decodificato nella variabile request.header.username e la password decodificata nella variabile request.header.password.
Informazioni sul criterio di autenticazione di base
Il criterio prevede due modalità di funzionamento:
- Codifica: Base64 codifica un nome utente e una password memorizzati nelle variabili
- Decodifica: decodifica il nome utente e la password da una stringa codificata Base64
Il nome utente e la password vengono comunemente archiviati nell'archivio chiave/valore e poi letti dall'archivio chiavi/valore in fase di runtime. Per maggiori dettagli sull'utilizzo dell'archivio chiave/valore, consulta il criterio relativo alle operazioni di mappatura delle coppie chiave-valore.
Riferimento elemento
Il riferimento all'elemento descrive gli elementi e gli attributi del criterio BasicAutenticazione.
<BasicAuthentication async="false" continueOnError="false" enabled="true" name="Basic-Authentication-1"> <DisplayName>Basic Authentication 1</DisplayName> <Operation>Encode</Operation> <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables> <User ref="request.queryparam.username" /> <Password ref="request.queryparam.password" /> <AssignTo createNew="false">request.header.Authorization</AssignTo> <Source>request.header.Authorization</Source> </BasicAuthentication>
Attributi <BasicAutenticazione>
<BasicAuthentication async="false" continueOnError="false" enabled="true" name="Basic-Authentication-1">
La tabella seguente descrive gli attributi comuni a tutti gli elementi principali dei criteri:
Attributo | Descrizione | Predefinito | Presenza |
---|---|---|---|
name |
Il nome interno della norma. Il valore dell'attributo Facoltativamente, utilizza l'elemento |
N/A | Obbligatorie |
continueOnError |
Impostalo su Imposta su |
false | Facoltativo |
enabled |
Imposta il criterio su Impostala su |
true | Facoltativo |
async |
Questo attributo è obsoleto. |
false | Deprecata |
Elemento <DisplayName>
Utilizzalo in aggiunta all'attributo name
per etichettare il criterio nell'editor proxy dell'interfaccia utente di gestione con un nome diverso in linguaggio naturale.
<DisplayName>Policy Display Name</DisplayName>
Predefinito |
N/A Se ometti questo elemento, viene utilizzato il valore dell'attributo |
---|---|
Presenza | Facoltativo |
Tipo | Stringa |
Elemento <Operation>
Determina se il criterio Base64 codifica o decodifica le credenziali.
<Operation>Encode</Operation>
Predefinito: | N/A |
Presenza: | Obbligatorie |
Tipo: |
Stringa. I valori validi sono:
|
Elemento <IgnoraUnresolvedVariables>
Se viene impostato su true
, il criterio non genera un errore se non è possibile risolvere una variabile. Quando viene utilizzata nel contesto di un criterio Basic Authentication, in genere questa impostazione è impostata su false
, perché in genere è utile generare un errore se non è possibile trovare un nome utente o una password nelle variabili specificate.
<IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
Predefinito: | true |
Presenza: | Facoltativo |
Tipo: |
Booleano |
Elemento <User>
- Per la codifica, utilizza l'elemento
<User>
per specificare la variabile contenente il nome utente. I valori del nome utente e della password sono concatenati con due punti prima della codifica Base64. - Per la decodifica, specifica la variabile in cui è scritto il nome utente decodificato.
<User ref="request.queryparam.username" />
Predefinito: | N/A |
Presenza: | Obbligatorie |
Tipo: |
N/A |
Attributi
Attributo | Descrizione | Predefinito | Presenza |
---|---|---|---|
rif |
La variabile da cui il criterio legge in modo dinamico il nome utente (codifica) o scrive il nome utente (decodifica). |
N/A | Obbligatorie |
Elemento <Password>
- Per la codifica, utilizza l'elemento
<Password>
per specificare la variabile contenente la password. - Per la decodifica, specifica la variabile in cui viene scritta la password decodificata.
<Password ref="request.queryparam.password" />
Predefinito: | N/A |
Presenza: | Obbligatorie |
Tipo: |
N/A |
Attributi
Attributo | Descrizione | Predefinito | Presenza |
---|---|---|---|
rif |
La variabile da cui il criterio legge in modo dinamico la password (codifica) o scrive la password (decodifica). |
N/A | Obbligatorie |
Elemento <AssignTo>
Specifica la variabile di destinazione da impostare con il valore codificato o decodificato generato da questo criterio.
L'esempio seguente indica che il criterio deve impostare l'intestazione Authorization
del messaggio sul valore generato:
<AssignTo createNew="false">request.header.Authorization</AssignTo>
Predefinito: | N/A |
Presenza: | Obbligatorie |
Tipo: |
Stringa |
Attributi
Attributo | Descrizione | Predefinito | Presenza |
---|---|---|---|
createNew | Determina se il criterio deve sovrascrivere la variabile se questa è già impostata.
Quando "false", l'assegnazione alla variabile avviene solo se la variabile al momento non è impostata (null). Quando è impostato su "true", l'assegnazione alla variabile si verifica sempre. In genere, imposti questo attributo su "false" (valore predefinito). |
false | Facoltativo |
Elemento <Source>
Per la decodifica, la variabile contenente la stringa codificata Base64, nel formato Basic
Base64EncodedString
. Ad esempio, specifica request.header.Authorization
, corrispondente all'intestazione Authorization.
<Source>request.header.Authorization</Source>
Predefinito: | N/A |
Presenza: | Obbligatorio per l'operazione di decodifica. |
Tipo: |
N/A |
Variabili di flusso
La seguente variabile di flusso viene impostata in caso di errore del criterio:
BasicAuthentication.{policy_name}.failed
(con valore true)
Messaggi di errore
Questa sezione descrive i codici e i messaggi di errore restituiti e le variabili di errore impostate da Edge quando questo criterio attiva un errore. Queste informazioni sono importanti per sapere se stai sviluppando regole di errore per gestire gli errori. Per scoprire di più, consulta gli articoli Cosa devi sapere sugli errori relativi alle norme e Gestione degli errori.
Errori di runtime
Questi errori possono verificarsi quando il criterio viene eseguito.
Codice di errore | Stato HTTP | Causa | Correggi |
---|---|---|---|
steps.basicauthentication.InvalidBasicAuthenticationSource |
500 | Su una decodifica quando la stringa codificata Base64 in entrata non contiene un valore valido o l'intestazione non è nel formato corretto (ad esempio, non inizia con "Base"). | build |
steps.basicauthentication.UnresolvedVariable |
500 | Le variabili di origine richieste per la decodifica o la codifica non sono presenti. Questo errore può
verificarsi solo se IgnoreUnresolvedVariables è falso. |
build |
Errori di deployment
Questi errori possono verificarsi quando esegui il deployment di un proxy contenente questo criterio.
Nome errore | Si verifica quando | Correggi |
---|---|---|
UserNameRequired |
L'elemento <User> deve essere presente per l'operazione con nome. |
build |
PasswordRequired |
L'elemento <Password> deve essere presente per l'operazione con nome. |
build |
AssignToRequired |
L'elemento <AssignTo> deve essere presente per l'operazione con nome. |
build |
SourceRequired |
L'elemento <Source> deve essere presente per l'operazione con nome. |
build |
Variabili di errore
Queste variabili vengono impostate quando si verifica un errore di runtime. Per maggiori informazioni, consulta la sezione Cosa devi sapere sugli errori relativi ai criteri.
Variabili | Dove | Esempio |
---|---|---|
fault.name="fault_name" |
fault_name è il nome dell'errore, come indicato nella tabella Errori di runtime riportata sopra. Il nome del guasto è l'ultima parte del codice di errore. | fault.name Matches "UnresolvedVariable" |
BasicAuthentication.policy_name.failed |
policy_name è il nome specificato dall'utente del criterio che ha generato l'errore. | BasicAuthentication.BA-Authenticate.failed = true |
Esempio di risposta di errore
{ "fault":{ "detail":{ "errorcode":"steps.basicauthentication.UnresolvedVariable" }, "faultstring":"Unresolved variable : request.queryparam.password" } }
Esempio di regola di errore
<FaultRule name="Basic Authentication Faults"> <Step> <Name>AM-UnresolvedVariable</Name> <Condition>(fault.name Matches "UnresolvedVariable") </Condition> </Step> <Step> <Name>AM-AuthFailedResponse</Name> <Condition>(fault.name = "InvalidBasicAuthenticationSource")</Condition> </Step> <Condition>(BasicAuthentication.BA-Authentication.failed = true) </Condition> </FaultRule>
Schemi
Argomenti correlati
Norme relative alle operazioni di mappatura delle coppie chiave-valore