Criterio BasicAuthentication

Stai visualizzando la documentazione di Apigee Edge.
Vai alla sezione Documentazione di Apigee X. Informazioni

Cosa

Consente di utilizzare l'autenticazione di base leggera per sicurezza dell'ultimo miglio. Il criterio accetta un nome utente e una password, li codifica in Base64 e scrive come valore generato da una variabile. Il valore risultante è nel formato Basic Base64EncodedString. In genere questo valore viene scritto in un'intestazione HTTP, come l'intestazione Authorization

Il criterio consente inoltre di decodificare le credenziali archiviate in una stringa codificata Base64 in un nome utente e password.

Video: questo video mostra come eseguire la codifica in Base64 di un nome utente e usando il criterio di autenticazione di base.

Video: questo video mostra come decodificare un nome utente codificato in base64 e usando il criterio di autenticazione di base.

Esempi

Codifica in uscita

<BasicAuthentication name="ApplyBasicAuthHeader">
   <DisplayName>ApplyBasicAuthHeader</DisplayName>
   <Operation>Encode</Operation>
   <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
   <User ref="BasicAuth.credentials.username" />
   <Password ref="BasicAuth.credentials.password" />
   <AssignTo createNew="false">request.header.Authorization</AssignTo>
</BasicAuthentication>

Nella configurazione dei criteri di esempio riportata sopra, il nome utente e la password da codificare sono derivata dalle variabili specificate dagli attributi ref nella <User> e <Password>. Le variabili devono essere impostato prima dell'esecuzione di questo criterio. In genere, le variabili sono compilate da valori che lette da una mappa chiave/valore. Consulta la Mappa dei valori chiave Norme relative alle operazioni.

Questa configurazione genera l'intestazione HTTP denominata Authorization, come specificato &lt;AssignTo&gt;, aggiunta al messaggio di richiesta in uscita inviato al server di backend:

Authorization: Basic TXlVc2VybmFtZTpNeVBhc3N3b3Jk

I valori <User> e <Password> sono concatenati con i due punti prima della codifica Base64.

Considera di avere una mappa chiave/valore con la seguente voce:

{
  "encrypted" : true,
  "entry" : [ {
    "name" : "username",
    "value" : "MyUsername"
  }, {
    "name" : "password",
    "value" : "MyPassword"
  } ],
  "name" : "BasicAuthCredentials"
}

Collega i seguenti criteri KeyValueMapOperations prima del criterio BasicAuthentication poter estrarre i valori per <User> e <Password> elementi dall'archivio chiave/valore e compilali nella le variabili credentials.username e credentials.password.

<KeyValueMapOperations name="getCredentials" mapIdentifier="BasicAuthCredentials">
  <Scope>apiproxy</Scope>
  <Get assignTo="credentials.username" index='1'>
    <Key>
      <Parameter>username</Parameter>
    </Key>
  </Get>
  <Get assignTo="credentials.password" index='1'>
    <Key>
      <Parameter>password</Parameter>
    </Key>
  </Get>
</KeyValueMapOperations>

Decodifica in entrata

<BasicAuthentication name="DecodeBaseAuthHeaders">
   <DisplayName>Decode Basic Authentication Header</DisplayName>
   <Operation>Decode</Operation>
   <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
   <User ref="request.header.username" />
   <Password ref="request.header.password" />
   <Source>request.header.Authorization</Source>
</BasicAuthentication>

In questo esempio di criterio, il criterio decodifica il nome utente e la password dalla Intestazione HTTP Authorization, come specificato dall'elemento &lt;Source&gt;. Base64 la stringa codificata deve essere nel formato Basic Base64EncodedString.

Il criterio scrive il nome utente decodificato nella variabile request.header.username. la password decodificata nella variabile request.header.password.

Informazioni sul criterio di autenticazione di base

Il criterio ha due modalità di funzionamento:

  • Codifica: Base64 codifica un nome utente e una password memorizzati in variabili
  • Decode: decodifica il nome utente e la password da un Stringa codificata Base64

Il nome utente e la password vengono comunemente memorizzati nell'archivio chiave/valore e quindi vengono letti dal di archiviazione di coppie chiave/valore al momento dell'attivazione. Per informazioni dettagliate sull'utilizzo dell'archivio chiavi-valore, consulta Operazioni della mappa valori-chiave .

Riferimento elemento

Il riferimento agli elementi descrive gli elementi e gli attributi dell'API BasicAuthentication .

<BasicAuthentication async="false" continueOnError="false" enabled="true" name="Basic-Authentication-1">
   <DisplayName>Basic Authentication 1</DisplayName>
   <Operation>Encode</Operation>
   <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
   <User ref="request.queryparam.username" />
   <Password ref="request.queryparam.password" />
   <AssignTo createNew="false">request.header.Authorization</AssignTo>
   <Source>request.header.Authorization</Source> 
</BasicAuthentication>

&lt;BasicAuthentication&gt; attributi

<BasicAuthentication async="false" continueOnError="false" enabled="true" name="Basic-Authentication-1">

La tabella seguente descrive gli attributi comuni a tutti gli elementi principali del criterio:

Attributo Descrizione Predefinito Presenza
name

Il nome interno del criterio. Il valore dell'attributo name può Deve contenere lettere, numeri, spazi, trattini, trattini bassi e punti. Questo valore non può superare i 255 caratteri.

Se vuoi, puoi utilizzare l'elemento <DisplayName> per etichettare il criterio in l'editor proxy della UI di gestione con un nome diverso in linguaggio naturale.

 N/D Obbligatorio
continueOnError

Imposta il valore su false per restituire un errore quando un criterio non viene eseguito. Si tratta di un comportamento previsto per la maggior parte dei criteri.

Imposta su true per fare in modo che l'esecuzione del flusso continui anche dopo un criterio non riesce.

 falso Facoltativo
enabled

Imposta il valore su true per applicare il criterio.

Imposta false per disattivare il criterio. Il criterio non verrà applicata anche se rimane collegata a un flusso.

 true Facoltativo
async

Questo attributo è obsoleto.

 falso Deprecato

&lt;DisplayName&gt; elemento

Da utilizzare in aggiunta all'attributo name per etichettare il criterio in editor proxy della UI di gestione con un nome diverso e in linguaggio naturale.

<DisplayName>Policy Display Name</DisplayName>
Predefinito

N/D

Se ometti questo elemento, il valore dell'attributo name del criterio è in uso.
Presenza Facoltativo
Tipo Stringa

&lt;Operation&gt; elemento

Determina se il criterio Base64 codifica o decodifica le credenziali.

<Operation>Encode</Operation>
Predefinita: N/D
Presenza: Obbligatorio
Tipo:

Stringa.

I valori validi sono:

  • Codifica
  • Decode

&lt;IgnoreUnresolvedVariables&gt; elemento

Se viene impostato su true, il criterio non genera un errore se una variabile non può essere risolto. Se utilizzata nel contesto di un criterio BasicAuthentication, in genere questa impostazione viene impostata a false perché generalmente è utile generare un errore se un nome utente o impossibile trovare password nelle variabili specificate.

<IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
Predefinita: true
Presenza: Facoltativo
Tipo:

Booleano

&lt;User&gt; elemento

  • Per la codifica, utilizza l'elemento <User> per specificare la variabile contenente il nome utente. I valori del nome utente e della password sono concatenati con i due punti prima di Codifica Base64.
  • Per la decodifica, specifica la variabile in cui è scritto il nome utente decodificato.
<User ref="request.queryparam.username" />
Predefinita: N/D
Presenza: Obbligatorio
Tipo:

N/D

Attributi

Attributo Descrizione Predefinito Presenza
riferimento

La variabile da cui il criterio legge in modo dinamico il nome utente (encode) o scrive il nome utente (decode).

 N/D Obbligatorio

&lt;Password&gt; elemento

  • Per la codifica, utilizza l'elemento <Password> per specificare la variabile contenente la password.
  • Per la decodifica, specifica la variabile in cui viene scritta la password decodificata.
<Password ref="request.queryparam.password" />
Predefinita: N/D
Presenza: Obbligatorio
Tipo:

N/D

Attributi

Attributo Descrizione Predefinito Presenza
riferimento

La variabile da cui il criterio legge in modo dinamico la password (encode) o scrive la password (decodifica).

 N/D Obbligatorio

&lt;AssignTo&gt; elemento

Specifica la variabile target da impostare con il valore codificato o decodificato generato da questo .

L'esempio seguente indica che il criterio deve impostare Authorization intestazione del messaggio al valore generato:

<AssignTo createNew="false">request.header.Authorization</AssignTo>
Predefinita: N/D
Presenza: Obbligatorio
Tipo:

Stringa

Attributi

Attributo Descrizione Predefinito Presenza
createNew Determina se il criterio deve sovrascrivere la variabile se questa è già per iniziare.

Quando "false", l'assegnazione alla variabile si verifica solo se la variabile è attualmente non impostato (nullo).

Quando è "true", l'assegnazione alla variabile avviene sempre.

In genere imposti questo attributo su "false" (valore predefinito).

 falso Facoltativo

&lt;Source&gt; elemento

Per la decodifica, la variabile contenente la stringa codificata Base64, nel modulo Basic Base64EncodedString. Ad esempio: specificare request.header.Authorization, corrispondente all'intestazione Authorization.

<Source>request.header.Authorization</Source>
Predefinita: N/D
Presenza: Obbligatorio per l'operazione di decodifica.
Tipo:

N/D

Variabili di flusso

Quando il criterio non riesce, viene impostata la seguente variabile di flusso:

  • BasicAuthentication.{policy_name}.failed (con valore true)
di Gemini Advanced.

Messaggi di errore

This section describes the fault codes and error messages that are returned and fault variables that are set by Edge when this policy triggers an error. This information is important to know if you are developing fault rules to handle errors. To learn more, see What you need to know about policy errors and Handling faults.

Runtime errors

These errors can occur when the policy executes.

Fault code HTTP status Cause Fix
steps.basicauthentication.InvalidBasicAuthenticationSource 500 On a decode when the incoming Base64 encoded string does not contain a valid value or the header is malformed (e.g., does not start with "Basic").
steps.basicauthentication.UnresolvedVariable 500 The required source variables for the decode or encode are not present. This error can only occur if IgnoreUnresolvedVariables is false.

Deployment errors

These errors can occur when you deploy a proxy containing this policy.

Error name Occurs when Fix
UserNameRequired The <User> element must be present for the named operation.
PasswordRequired The <Password> element must be present for the named operation.
AssignToRequired The <AssignTo> element must be present for the named operation.
SourceRequired The <Source> element must be present for the named operation.

Fault variables

These variables are set when a runtime error occurs. For more information, see What you need to know about policy errors.

Variables Where Example
fault.name="fault_name" fault_name is the name of the fault, as listed in the Runtime errors table above. The fault name is the last part of the fault code. fault.name Matches "UnresolvedVariable"
BasicAuthentication.policy_name.failed policy_name is the user-specified name of the policy that threw the fault. BasicAuthentication.BA-Authenticate.failed = true

Example error response

{  
   "fault":{  
      "detail":{  
         "errorcode":"steps.basicauthentication.UnresolvedVariable"
      },
      "faultstring":"Unresolved variable : request.queryparam.password"
   }
}

Example fault rule

<FaultRule name="Basic Authentication Faults">
    <Step>
        <Name>AM-UnresolvedVariable</Name>
        <Condition>(fault.name Matches "UnresolvedVariable") </Condition>
    </Step>
    <Step>
        <Name>AM-AuthFailedResponse</Name>
        <Condition>(fault.name = "InvalidBasicAuthenticationSource")</Condition>
    </Step>
    <Condition>(BasicAuthentication.BA-Authentication.failed = true) </Condition>
</FaultRule>

Schemi

Argomenti correlati

Mappa valori-chiave Norme relative alle operazioni