Ta strona została przetłumaczona przez Cloud Translation API.

Zasada dekodowania JWS

Przeglądasz dokumentację Apigee Edge.
Przejdź do Dokumentacja Apigee X. informacje.

Co

Dekoduje nagłówek JWS bez weryfikacji podpisu w JWS i zapisuje każdy nagłówek w kluczu zmienną przepływu danych. Ta zasada jest najbardziej przydatna, gdy jest używana razem z zasadąVerifyJWS, gdy wartość nagłówka w JWS musi być znana przed weryfikacją podpisu JWS.

JWS może mieć dołączony ładunek, na przykład:

header.payload.signature

Oprogramowanie JWS może też pominąć ładunek nazywany odłączonym i mieć postać:

header..signature

Zasada DecodeJWS działa w obu tych formularzach, ponieważ dekoduje tylko nagłówek JWS. Zasada DecodeJWS działa też niezależnie od algorytmu użytego do podpisania JWS.

Szczegółowe informacje znajdziesz w omówieniu zasad JWS i JWT. oraz omówienie formatu JWS.

Wideo

Obejrzyj krótki film, aby dowiedzieć się, jak zdekodować token JWT. W tym filmie i JWT, wiele koncepcji jest takich samych w przypadku JWS.

Przykład: dekodowanie JWS

Poniższa zasada dekoduje plik JWS znaleziony w zmiennej przepływu var.JWS. Ten musi być obecna i zawierać prawidłowy (z możliwością dekodowania) JWS. Polityka może uzyskać JWS z dowolną zmienną przepływu.

<DecodeJWS name="JWS-Decode-HS256">
    <DisplayName>JWS Verify HS256</DisplayName>
    <Source>var.JWS</Source>
</DecodeJWS>

Dla każdego nagłówka w nagłówkowej części JWS zasada ustawia zmienną przepływu o nazwie:

jws.policy-name.header.header-name

Jeśli JWS ma załączony ładunek, ustawia jws.policy-name.header.payload do ładunku. W przypadku ładunku odłączonego pole payload jest puste. Pełną listę zmiennych ustawianych przez te zasady znajdziesz w sekcji Zmienne przepływu.

Dokumentacja elementu na potrzeby dekodowania JWS

Dokumentacja zasady zawiera opis elementów i atrybutów zasady Decode JWS.

Atrybuty, które zastosuj do elementu najwyższego poziomu

<DecodeJWS name="JWS" continueOnError="false" enabled="true" async="false">

Poniższe atrybuty są wspólne dla wszystkich elementów nadrzędnych zasad.

Atrybut	Opis	Domyślnie	Obecność
nazwa	Wewnętrzna nazwa zasady. W nazwie można używać tylko następujących znaków: `A-Z0-9._\-$ %` Interfejs zarządzania brzegowego wymusza jednak dodatkowe takich jak automatyczne usuwanie znaków innych niż alfanumeryczne. Opcjonalnie możesz użyć elementu `<displayname></displayname>` do: oznaczyć zasadę w edytorze proxy interfejsu zarządzania innym, naturalnym językiem imię i nazwisko.	Nie dotyczy	Wymagane
continueOnError	Ustaw jako `false`, aby w przypadku niepowodzenia zasady zwracany był błąd. To normalne w przypadku większości zasad. Ustaw jako `true`, aby wykonywanie przepływu było kontynuowane nawet po zastosowaniu zasady niepowodzenie.	fałsz	Opcjonalnie
włączone	Aby egzekwować zasadę, ustaw wartość `true`. Ustaw „Wyłącz” na: `false` zasady. Zasada nie zostanie wyegzekwowana nawet jeśli jest ono połączone z procesem.	prawda	Opcjonalnie
asynchroniczny	Ten atrybut został wycofany.	fałsz	Wycofano

<DisplayName>

<DisplayName>Policy Display Name</DisplayName>

Użyj oprócz atrybutu name [nazwa], aby oznaczyć zasadę etykietą w edytorze serwera proxy w interfejsie zarządzania z inną nazwą w języku naturalnym.

Domyślnie	Jeśli pominiesz ten element, zostanie użyta wartość atrybutu nazwa zasady.
Obecność	Opcjonalnie
Typ	Ciąg znaków

<Source>

<Source>JWS-variable</Source>

Jeśli istnieje, określa zmienną przepływu, w której zasada oczekuje, że kod JWS zostanie znaleziony do ich dekodowania.

Uwaga: domyślnie pakiet JWS jest pobierany ze zmiennej request.header.authorization. W tym przypadku Edge szuka JWS w pliku nagłówek autoryzacji żądania. Jeśli przekazujesz JWS w nagłówku autoryzacji, nie musisz umieszczać w zasadach element Source; jednak musisz dołączyć Bearer w nagłówku uwierzytelniania. Na przykład należy przekazać JWS w Nagłówek autoryzacji podobny do tego:

curl -v http://52.200.92.187:9001/doctest-JWS/verify-rs256 -H "Authorization: Bearer <your JWS>"

Możesz skonfigurować zasadę, by pobierała kod JWS z formularza, zmiennej parametru zapytania lub dowolnej z inną zmienną. Jeśli zmienna nie istnieje lub jeśli zasada nie może znaleźć kodu JWS w inny sposób, w polu zasada zwraca błąd.

Domyślnie	`request.header.authorization` (Ważne informacje znajdziesz w uwagę powyżej o domyślnej wartości).
Obecność	Opcjonalnie
Typ	Ciąg znaków
Prawidłowe wartości	Nazwa zmiennej przepływu brzegowego

Zmienne przepływu

Po pomyślnym zakończeniu zostają ustawione zasady Weryfikuj JWS i Decode JWS. zmiennych kontekstowych zgodnie z tym wzorcem:

jws.{policy_name}.{variable_name}

Jeśli na przykład nazwa zasady to verify-jws, to zasada będzie przechowywać algorytm określony w JWS na tę zmienną kontekstową: jws.verify-jws.header.algorithm

Nazwa zmiennej	Opis
`decoded.header.name`	Możliwe do analizy wartość JSON nagłówka w ładunku. Jedna zmienna jest ustawiona dla każdego nagłówka w ładunku. Możesz także używać zmiennych przepływu `header.name`, to zalecana zmienna pozwalająca uzyskać dostęp do nagłówka.
`header.algorithm`	Algorytm podpisywania używany w JWS. Na przykład RS256, HS384 i tak dalej. Więcej informacji znajdziesz w sekcji Parametr nagłówka(algorytm).
`header.kid`	Identyfikator klucza, jeśli został dodany podczas generowania JWS. Zobacz też „Using a JSON Web Key Set” (Używanie zestawu kluczy internetowych JSON) (JWKS)” w JWT i JWS omówienie zasad, aby zweryfikować JWS. Więcej informacji znajdziesz w sekcji Parametr nagłówka(identyfikator klucza).
`header.type`	Wartość typu nagłówka. Więcej informacji znajdziesz w sekcji Parametr nagłówka(typ).
`header.name`	Wartość nazwanego nagłówka (standardowy lub dodatkowy). Jedno z nich zostanie ustawione na każdego dodatkowego nagłówka w nagłówkowej części JWS.
`header-json`	Nagłówek w formacie JSON.
`payload`	Ładunek JWS, jeśli JWS ma dołączony ładunek. W przypadku ładunku odłączonego ta zmienna jest pusta.
`valid`	W przypadku VerifyJWS ta zmienna ma wartość true (prawda), gdy podpis zostanie zweryfikowany, a bieżący czas jest przed wygaśnięciem tokena i po wartości notBefore, jeśli są obecne. W przeciwnym razie ma wartość fałsz. W przypadku DecodeJWS ta zmienna nie jest ustawiona.

Informacje o błędzie

This section describes the fault codes and error messages that are returned and fault variables that are set by Edge when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.

Runtime errors

These errors can occur when the policy executes.

Fault code	HTTP status	Occurs when
`steps.jws.FailedToDecode`	401	The policy was unable to decode the JWS. The JWS is possibly corrupted.
`steps.jws.FailedToResolveVariable`	401	Occurs when the flow variable specified in the `<Source>` element of the policy does not exist.
`steps.jws.InvalidClaim`	401	For a missing claim or claim mismatch, or a missing header or header mismatch.
`steps.jws.InvalidJsonFormat`	401	Invalid JSON found in the JWS header.
`steps.jws.InvalidJws`	401	This error occurs when the JWS signature verification fails.
`steps.jws.InvalidPayload`	401	The JWS payload is invalid.
`steps.jws.InvalidSignature`	401	`<DetachedContent>` is omitted and the JWS has a detached content payload.
`steps.jws.MissingPayload`	401	The JWS payload is missing.
`steps.jws.NoAlgorithmFoundInHeader`	401	Occurs when the JWS omits the algorithm header.
`steps.jws.UnknownException`	401	An unknown exception occurred.

Deployment errors

These errors can occur when you deploy a proxy containing this policy.

Error name Occurs when

InvalidAlgorithm The only valid values are: RS256, RS384, RS512, PS256, PS384, PS512, ES256, ES384, ES512, HS256, HS384, HS512.

Error name	Occurs when
`InvalidAlgorithm`	The only valid values are: RS256, RS384, RS512, PS256, PS384, PS512, ES256, ES384, ES512, HS256, HS384, HS512.
`EmptyElementForKeyConfiguration` `FailedToResolveVariable` `InvalidConfigurationForActionAndAlgorithmFamily` `InvalidConfigurationForVerify` `InvalidEmptyElement` `InvalidFamiliesForAlgorithm` `InvalidKeyConfiguration` `InvalidNameForAdditionalClaim` `InvalidNameForAdditionalHeader` `InvalidPublicKeyId` `InvalidPublicKeyValue` `InvalidSecretInConfig` `InvalidTypeForAdditionalClaim` `InvalidTypeForAdditionalHeader` `InvalidValueForElement` `InvalidValueOfArrayAttribute` `InvalidVariableNameForSecret` `MissingConfigurationElement` `MissingElementForKeyConfiguration` `MissingNameForAdditionalClaim` `MissingNameForAdditionalHeader`	Other possible deployment errors.

EmptyElementForKeyConfiguration

FailedToResolveVariable

InvalidConfigurationForActionAndAlgorithmFamily

InvalidConfigurationForVerify

InvalidEmptyElement

InvalidFamiliesForAlgorithm

InvalidKeyConfiguration

InvalidNameForAdditionalClaim

InvalidNameForAdditionalHeader

InvalidPublicKeyId

InvalidPublicKeyValue

InvalidSecretInConfig

InvalidTypeForAdditionalClaim

InvalidTypeForAdditionalHeader

InvalidValueForElement

InvalidValueOfArrayAttribute

InvalidVariableNameForSecret

MissingConfigurationElement

MissingElementForKeyConfiguration

MissingNameForAdditionalClaim

MissingNameForAdditionalHeader

Other possible deployment errors.

Zmienne błędów

Te zmienne są ustawiane po wystąpieniu błędu działania. Więcej informacji znajdziesz w artykule Podstawowe informacje o błędach związanych z naruszeniem zasad.

Zmienne	Gdzie	Przykład
`fault.name="fault_name"`	`fault_name` to nazwa błędu podana w tabeli Błędy czasu działania powyżej. Nazwa błędu to ostatnia część kodu błędu.	`fault.name Matches "TokenExpired"`
`JWS.failed`	Wszystkie zasady JWS ustawiają tę samą zmienną w przypadku awarii.	`jws.JWS-Policy.failed = true`

Przykładowa odpowiedź na błąd

W przypadku obsługi błędów sprawdzoną metodą jest przechwycenie części błędu errorcode. . Nie polegaj na tekście zawartym w pliku faultstring, ponieważ może się on zmienić.

Przykładowa reguła błędu

<FaultRules>
    <FaultRule name="JWS Policy Errors">
        <Step>
            <Name>JavaScript-1</Name>
            <Condition>(fault.name Matches "TokenExpired")</Condition>
        </Step>
        <Condition>JWS.failed=true</Condition>
    </FaultRule>
</FaultRules>