Przeglądasz dokumentację Apigee Edge.
Przejdź do
Dokumentacja Apigee X. informacje.
Co
Dekoduje nagłówek JWS bez weryfikacji podpisu w JWS i zapisuje każdy nagłówek w kluczu zmienną przepływu danych. Ta zasada jest najbardziej przydatna, gdy jest używana razem z zasadąVerifyJWS, gdy wartość nagłówka w JWS musi być znana przed weryfikacją podpisu JWS.
JWS może mieć dołączony ładunek, na przykład:
header.payload.signature
Oprogramowanie JWS może też pominąć ładunek nazywany odłączonym i mieć postać:
header..signature
Zasada DecodeJWS działa w obu tych formularzach, ponieważ dekoduje tylko nagłówek JWS. Zasada DecodeJWS działa też niezależnie od algorytmu użytego do podpisania JWS.
Szczegółowe informacje znajdziesz w omówieniu zasad JWS i JWT. oraz omówienie formatu JWS.
Wideo
Obejrzyj krótki film, aby dowiedzieć się, jak zdekodować token JWT. W tym filmie i JWT, wiele koncepcji jest takich samych w przypadku JWS.
Przykład: dekodowanie JWS
Poniższa zasada dekoduje plik JWS znaleziony w zmiennej przepływu var.JWS. Ten musi być obecna i zawierać prawidłowy (z możliwością dekodowania) JWS. Polityka może uzyskać JWS z dowolną zmienną przepływu.
<DecodeJWS name="JWS-Decode-HS256"> <DisplayName>JWS Verify HS256</DisplayName> <Source>var.JWS</Source> </DecodeJWS>
Dla każdego nagłówka w nagłówkowej części JWS zasada ustawia zmienną przepływu o nazwie:
jws.policy-name.header.header-name
Jeśli JWS ma załączony ładunek, ustawia jws.policy-name.header.payload
do ładunku. W przypadku ładunku odłączonego pole payload jest puste.
Pełną listę zmiennych ustawianych przez te zasady znajdziesz w sekcji Zmienne przepływu.
Dokumentacja elementu na potrzeby dekodowania JWS
Dokumentacja zasady zawiera opis elementów i atrybutów zasady Decode JWS.
Atrybuty, które zastosuj do elementu najwyższego poziomu
<DecodeJWS name="JWS" continueOnError="false" enabled="true" async="false">
Poniższe atrybuty są wspólne dla wszystkich elementów nadrzędnych zasad.
| Atrybut | Opis | Domyślnie | Obecność |
|---|---|---|---|
| nazwa |
Wewnętrzna nazwa zasady. W nazwie można używać tylko następujących znaków:
A-Z0-9._\-$ % Interfejs zarządzania brzegowego wymusza jednak dodatkowe
takich jak automatyczne usuwanie znaków innych niż alfanumeryczne.
Opcjonalnie możesz użyć elementu |
Nie dotyczy | Wymagane |
| continueOnError |
Ustaw jako false, aby w przypadku niepowodzenia zasady zwracany był błąd. To normalne
w przypadku większości zasad.
Ustaw jako |
fałsz | Opcjonalnie |
| włączone |
Aby egzekwować zasadę, ustaw wartość true.
Ustaw „Wyłącz” na: |
prawda | Opcjonalnie |
| asynchroniczny | Ten atrybut został wycofany. | fałsz | Wycofano |
<DisplayName>
<DisplayName>Policy Display Name</DisplayName>
Użyj oprócz atrybutu name [nazwa], aby oznaczyć zasadę etykietą w edytorze serwera proxy w interfejsie zarządzania z inną nazwą w języku naturalnym.
| Domyślnie | Jeśli pominiesz ten element, zostanie użyta wartość atrybutu nazwa zasady. |
| Obecność | Opcjonalnie |
| Typ | Ciąg znaków |
<Source>
<Source>JWS-variable</Source>
Jeśli istnieje, określa zmienną przepływu, w której zasada oczekuje, że kod JWS zostanie znaleziony do ich dekodowania.
| Domyślnie | request.header.authorization (Ważne informacje znajdziesz w uwagę powyżej
o domyślnej wartości). |
| Obecność | Opcjonalnie |
| Typ | Ciąg znaków |
| Prawidłowe wartości | Nazwa zmiennej przepływu brzegowego |
Zmienne przepływu
Po pomyślnym zakończeniu zostają ustawione zasady Weryfikuj JWS i Decode JWS. zmiennych kontekstowych zgodnie z tym wzorcem:
jws.{policy_name}.{variable_name}
Jeśli na przykład nazwa zasady to verify-jws, to zasada będzie przechowywać
algorytm określony w JWS na tę zmienną kontekstową:
jws.verify-jws.header.algorithm
| Nazwa zmiennej | Opis |
|---|---|
decoded.header.name |
Możliwe do analizy wartość JSON nagłówka w ładunku. Jedna zmienna jest ustawiona dla
każdego nagłówka w ładunku. Możesz także używać zmiennych przepływu header.name,
to zalecana zmienna pozwalająca uzyskać dostęp do nagłówka. |
header.algorithm |
Algorytm podpisywania używany w JWS. Na przykład RS256, HS384 i tak dalej. Więcej informacji znajdziesz w sekcji Parametr nagłówka(algorytm). |
header.kid |
Identyfikator klucza, jeśli został dodany podczas generowania JWS. Zobacz też „Using a JSON Web Key Set” (Używanie zestawu kluczy internetowych JSON) (JWKS)” w JWT i JWS omówienie zasad, aby zweryfikować JWS. Więcej informacji znajdziesz w sekcji Parametr nagłówka(identyfikator klucza). |
header.type |
Wartość typu nagłówka. Więcej informacji znajdziesz w sekcji Parametr nagłówka(typ). |
header.name |
Wartość nazwanego nagłówka (standardowy lub dodatkowy). Jedno z nich zostanie ustawione na każdego dodatkowego nagłówka w nagłówkowej części JWS. |
header-json |
Nagłówek w formacie JSON. |
payload |
Ładunek JWS, jeśli JWS ma dołączony ładunek. W przypadku ładunku odłączonego ta zmienna jest pusta. |
valid |
W przypadku VerifyJWS ta zmienna ma wartość true (prawda), gdy podpis zostanie zweryfikowany, a
bieżący czas jest przed wygaśnięciem tokena i po wartości notBefore, jeśli
są obecne. W przeciwnym razie ma wartość fałsz.
W przypadku DecodeJWS ta zmienna nie jest ustawiona. |
Informacje o błędzie
W tej sekcji opisujemy kody błędów i komunikaty o błędach, które są zwracane, oraz zmienne błędów ustawiane przez Edge, gdy ta zasada wywołuje błąd. Te informacje są ważne, jeśli opracowujesz reguły dotyczące błędów do obsługi takich błędów. Więcej informacji znajdziesz w sekcjach Co musisz wiedzieć o błędach zasad i Postępowanie w przypadku błędów.
Błędy w czasie wykonywania
Te błędy mogą wystąpić podczas wykonywania zasady.
| Kod błędu | Stan HTTP | Występuje, gdy |
|---|---|---|
steps.jws.FailedToDecode |
401 | Nie udało się zdekodować JWS za pomocą zasady. Być może JWS jest uszkodzony. |
steps.jws.FailedToResolveVariable |
401 | Występuje, gdy zmienna przepływu określona w elemencie <Source> zasady nie istnieje. |
steps.jws.InvalidClaim |
401 | Brak zgodności z deklaracją lub zgłoszeniem albo brak zgodności nagłówka lub nagłówka. |
steps.jws.InvalidJsonFormat |
401 | W nagłówku JWS znaleziono nieprawidłowy kod JSON. |
steps.jws.InvalidJws |
401 | Ten błąd występuje, gdy weryfikacja podpisu JWS nie powiedzie się. |
steps.jws.InvalidPayload |
401 | Ładunek JWS jest nieprawidłowy. |
steps.jws.InvalidSignature |
401 | Element <DetachedContent> jest pominięty, a JWS ma odłączony ładunek treści. |
steps.jws.MissingPayload |
401 | Brak ładunku JWS. |
steps.jws.NoAlgorithmFoundInHeader |
401 | Występuje, gdy JWS pomija nagłówek algorytmu. |
steps.jws.UnknownException |
401 | Wystąpił nieznany wyjątek. |
Błędy wdrażania
Te błędy mogą wystąpić podczas wdrażania serwera proxy zawierającego te zasady.
| Nazwa błędu | Występuje, gdy |
|---|---|
InvalidAlgorithm |
Jedyne prawidłowe wartości to: RS256, RS384, RS512, PS256, PS384, PS512, ES256, ES384, ES512, HS256, HS384, HS512. |
|
|
Inne możliwe błędy wdrażania. |
Zmienne błędów
Te zmienne są ustawiane po wystąpieniu błędu działania. Więcej informacji znajdziesz w artykule Podstawowe informacje o błędach związanych z naruszeniem zasad.
| Zmienne | Gdzie | Przykład |
|---|---|---|
fault.name="fault_name" |
fault_name to nazwa błędu podana w tabeli Błędy czasu działania powyżej. Nazwa błędu to ostatnia część kodu błędu. | fault.name Matches "TokenExpired" |
JWS.failed |
Wszystkie zasady JWS ustawiają tę samą zmienną w przypadku awarii. | jws.JWS-Policy.failed = true |
Przykładowa odpowiedź na błąd
W przypadku obsługi błędów sprawdzoną metodą jest przechwycenie części błędu errorcode.
. Nie polegaj na tekście zawartym w pliku faultstring, ponieważ może się on zmienić.
Przykładowa reguła błędu
<FaultRules>
<FaultRule name="JWS Policy Errors">
<Step>
<Name>JavaScript-1</Name>
<Condition>(fault.name Matches "TokenExpired")</Condition>
</Step>
<Condition>JWS.failed=true</Condition>
</FaultRule>
</FaultRules>