DecodeJWS ポリシー

概要

JWS の署名を検証せずに JWS をデコードし、各ヘッダーをフロー変数に書き込みます。このポリシーは、JWS の署名の検証前に JWS 内のヘッダーの値がわかっている必要のある場合に、VerifyJWS ポリシーと組み合わせて使用すると非常に便利です。

JWS は添付ペイロードを持つことができ、次の形式になります。

header.payload.signature

また、JWS はペイロードを省略でき、それは分離ペイロードと呼ばれ、次の形式になります。

header..signature

DecodeJWS ポリシーは JWS のヘッダー部分のみをデコードするため、どちらの形式でも機能します。DecodeJWS ポリシーは JWS への署名に使用されたアルゴリズムにも関係なく機能します。

JWS の詳細と形式の概要については、JWS および JWT ポリシーの概要をご覧ください。

動画

JWT のデコード方法についての短い動画をご覧ください。この動画は JWT 用ですが、コンセプトの多くは JWS と同じです。

サンプル: JWS をデコードする

以下に示すポリシーでは、フロー変数 var.JWS 内の JWT をデコードします。この変数が存在し、かつ有効(デコード可能)な JWS が含まれている必要があります。このポリシーは、JWS をあらゆるフロー変数から得ることができます。

<DecodeJWS name="JWS-Decode-HS256">
    <DisplayName>JWS Verify HS256</DisplayName>
    <Source>var.JWS</Source>
</DecodeJWS>

JWS のヘッダー部分にあるヘッダーごとに、このポリシーでは次の名前のフロー変数が設定されます。

jws.policy-name.header.header-name

JWS が添付ペイロードを持っている場合は、ペイロードに jws.policy-name.header.payload フロー変数が設定されます。分離ペイロードの場合は、payload が空になります。このポリシーで設定される変数の全リストについては、フロー変数をご覧ください。

Decode JWS の要素リファレンス

このポリシー リファレンスでは、Decode JWS ポリシーの要素と属性について説明します。

最上位の要素に適用される属性

<DecodeJWS name="JWS" continueOnError="false" enabled="true" async="false">

次の属性は、すべてのポリシーの親要素に共通です。

属性 説明 デフォルト 要否
name ポリシーの内部名。名前に使用できる文字は A-Z0-9._\-$ % のみです。ただし、Edge 管理 UI では、英数字以外の文字を自動的に削除するなど、追加の制限が適用されます。

必要に応じて、<displayname></displayname> 要素を使用して、管理 UI プロキシ エディタでポリシーに別の自然言語名でラベルを付けます。

 なし 必須
continueOnError ポリシーが失敗した場合にエラーを返すには、false に設定します。これはほとんどのポリシーで想定される動作です。

ポリシーが失敗してもフロー実行を続行するには、true に設定します。

 false 省略可
enabled ポリシーを適用するには true に設定します。

ポリシーを「turn off」するには、false に設定します。ポリシーがフローに接続されている場合でも適用されません。

 true 省略可
async この属性は非推奨となりました。 false 非推奨

<DisplayName>

<DisplayName>Policy Display Name</DisplayName>

name 属性に加えて、管理 UI プロキシ エディタのポリシーに別の自然言語名でラベルを付けるために使います。

デフォルト この要素を省略した場合、ポリシーの name 属性の値が使用されます。
要否 省略可
文字列

<Source>

<Source>JWS-variable</Source>

この要素が存在する場合、デコード対象の JWS が検出されるとポリシーが想定するフロー変数を指定します。

デフォルト request.header.authorization(デフォルトに関する重要な情報については、上記の注をご覧ください)。
要否 省略可
文字列
有効な値 Edge のフロー変数名

フロー変数

Verify JWS ポリシーと Decode JWS ポリシーは、成功すると、次のパターンに従ってコンテキスト変数を設定します。

jws.{policy_name}.{variable_name}

たとえば、ポリシー名が verify-jws の場合、ポリシーは JWS で指定されたアルゴリズムをコンテキスト変数 jws.verify-jws.header.algorithm に保存します。

変数名 説明
decoded.header.name ペイロードに含まれるヘッダーの JSON 解析可能な値。ペイロードに含まれるすべてのヘッダーに 1 つの変数が設定されます。header.name フロー変数を使用することもできますが、ヘッダーへのアクセスにはこの変数を使用することをおすすめします。
header.algorithm JWS で使用される署名アルゴリズム。たとえば、RS256、HS384 など。詳細については、(アルゴリズム)ヘッダー パラメータをご覧ください。
header.kid 鍵 ID(JWS の生成時に追加された場合)。JWS を検証するため、JWT と JWS ポリシーの概要の「JSON Web Key Set(JWKS)の使用」もご覧ください。詳細は、(鍵 ID)Header パラメータをご覧ください。
header.type ヘッダータイプの値。詳細は、(タイプ)ヘッダー パラメータをご覧ください。
header.name 指定されたヘッダーの値(標準または追加)。このいずれかが、JWS のヘッダー部分のすべての追加ヘッダーに設定されます。
header-json JSON 形式のヘッダー。
payload JWS ペイロード(JWS に接続されたペイロードが存在する場合)。分離ペイロードの場合、この変数は空です。
valid VerifyJWS では、署名が検証済みで、現在時刻がトークンの有効期限よりも前で、notBefore トークンの値よりも後の場合、この変数は true になります。それ以外は、false になります。

DecodeJWS では、この変数は設定されません。

エラー リファレンス

This section describes the fault codes and error messages that are returned and fault variables that are set by Edge when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.

Runtime errors

These errors can occur when the policy executes.

Fault code HTTP status Occurs when
steps.jws.FailedToDecode 401 The policy was unable to decode the JWS. The JWS is possibly corrupted.
steps.jws.FailedToResolveVariable 401 Occurs when the flow variable specified in the <Source> element of the policy does not exist.
steps.jws.InvalidClaim 401 For a missing claim or claim mismatch, or a missing header or header mismatch.
steps.jws.InvalidJsonFormat 401 Invalid JSON found in the JWS header.
steps.jws.InvalidJws 401 This error occurs when the JWS signature verification fails.
steps.jws.InvalidPayload 401 The JWS payload is invalid.
steps.jws.InvalidSignature 401 <DetachedContent> is omitted and the JWS has a detached content payload.
steps.jws.MissingPayload 401 The JWS payload is missing.
steps.jws.NoAlgorithmFoundInHeader 401 Occurs when the JWS omits the algorithm header.
steps.jws.UnknownException 401 An unknown exception occurred.

Deployment errors

These errors can occur when you deploy a proxy containing this policy.

Error name Occurs when
InvalidAlgorithm The only valid values are: RS256, RS384, RS512, PS256, PS384, PS512, ES256, ES384, ES512, HS256, HS384, HS512.

EmptyElementForKeyConfiguration

FailedToResolveVariable

InvalidConfigurationForActionAndAlgorithmFamily

InvalidConfigurationForVerify

InvalidEmptyElement

InvalidFamiliesForAlgorithm

InvalidKeyConfiguration

InvalidNameForAdditionalClaim

InvalidNameForAdditionalHeader

InvalidPublicKeyId

InvalidPublicKeyValue

InvalidSecretInConfig

InvalidTypeForAdditionalClaim

InvalidTypeForAdditionalHeader

InvalidValueForElement

InvalidValueOfArrayAttribute

InvalidVariableNameForSecret

MissingConfigurationElement

MissingElementForKeyConfiguration

MissingNameForAdditionalClaim

MissingNameForAdditionalHeader

 Other possible deployment errors.

障害変数

ランタイム エラーが発生すると、次の変数が設定されます。詳細については、ポリシーエラーについて知っておくべきことをご覧ください。

変数 説明
fault.name="fault_name" fault_name は、上記のランタイム エラーの表に記載されている障害の名前です。障害名は、障害コードの最後の部分です。 fault.name Matches "TokenExpired"
JWS.failed 障害の場合は、すべての JWS ポリシーで同じ変数が設定されます。 jws.JWS-Policy.failed = true

エラー レスポンスの例

ベスト プラクティスとして、エラー処理でエラー レスポンスの errorcode の部分をトラップすることをおすすめします。faultstring のテキストには依存しないでください。この部分は変更される可能性があります。

障害ルールの例

<FaultRules>
    <FaultRule name="JWS Policy Errors">
        <Step>
            <Name>JavaScript-1</Name>
            <Condition>(fault.name Matches "TokenExpired")</Condition>
        </Step>
        <Condition>JWS.failed=true</Condition>
    </FaultRule>
</FaultRules>