Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến
Tài liệu về Apigee X. thông tin
Nội dung
Giải mã tiêu đề JWS mà không cần xác minh chữ ký trên JWS và ghi từng tiêu đề vào một biến dòng dữ liệu. Chính sách này hữu ích nhất khi được sử dụng cùng với chính sáchVerifyJWS, khi người dùng phải biết giá trị của tiêu đề trong JWS trước khi xác minh chữ ký của JWS.
JWS có thể có tải trọng được đính kèm, như trong biểu mẫu:
header.payload.signature
Hoặc JWS có thể bỏ qua trọng tải, được gọi là tải trọng phân tách và có dạng như sau:
header..signature
Chính sách Giải mãJWS áp dụng được cho cả hai biểu mẫu vì chính sách này chỉ giải mã phần tiêu đề của JWS. Chính sách Giải mãJWS cũng hoạt động bất kể thuật toán dùng để ký JWS.
Xem bài viết Tổng quan về chính sách JWS và JWT để biết thông tin giới thiệu chi tiết và thông tin tổng quan về định dạng của JWS.
Video
Xem một video ngắn để tìm hiểu cách giải mã JWT. Trong khi video này đang dành riêng cho JWT, nhiều khái niệm cũng giống nhau đối với JWS.
Mẫu: Giải mã JWS
Chính sách hiển thị bên dưới giải mã JWS có trong biến luồng var.JWS. Chiến dịch này biến phải có và chứa một JWS khả thi (có thể phân giải). Chính sách này có thể lấy JWS từ bất kỳ biến luồng nào.
<DecodeJWS name="JWS-Decode-HS256"> <DisplayName>JWS Verify HS256</DisplayName> <Source>var.JWS</Source> </DecodeJWS>
Đối với mỗi tiêu đề trong phần tiêu đề của JWS, chính sách này sẽ đặt một biến luồng có tên như sau:
jws.policy-name.header.header-name
Nếu JWS có tải trọng đính kèm, thì JWS sẽ đặt jws.policy-name.header.payload
cho tải trọng. Đối với tải trọng tách rời, payload sẽ trống.
Hãy xem bài viết Biến flow để biết danh sách đầy đủ các biến do chính sách này đặt ra.
Tham chiếu phần tử để giải mã JWS
Tài liệu tham khảo chính sách này mô tả các thành phần và thuộc tính của chính sách Giải mã JWS.
Những thuộc tính mà áp dụng cho phần tử cấp cao nhất
<DecodeJWS name="JWS" continueOnError="false" enabled="true" async="false">
Các thuộc tính sau đây áp dụng chung cho tất cả phần tử mẹ của chính sách.
| Thuộc tính | Nội dung mô tả | Mặc định | Sự hiện diện |
|---|---|---|---|
| tên |
Tên nội bộ của chính sách. Bạn chỉ có thể sử dụng các ký tự trong tên này:
A-Z0-9._\-$ %. Tuy nhiên, giao diện người dùng quản lý Edge sẽ thực thi thêm
các hạn chế cụ thể, chẳng hạn như tự động xoá các ký tự không phải là chữ và số.
Bạn có thể dùng phần tử |
Không áp dụng | Bắt buộc |
| continueOnError |
Đặt thành false để trả về lỗi khi chính sách không thành công. Điều này là dự kiến
đối với hầu hết các chính sách.
Đặt thành |
false | Không bắt buộc |
| đang bật |
Hãy đặt thành true để thực thi chính sách này.
Đặt thành |
đúng | Không bắt buộc |
| không đồng bộ | Thuộc tính này không được dùng nữa. | false | Không được dùng nữa |
<DisplayName>
<DisplayName>Policy Display Name</DisplayName>
Sử dụng cùng với thuộc tính name để gắn nhãn chính sách trong trình chỉnh sửa proxy giao diện người dùng quản lý bằng một tên ngôn ngữ tự nhiên khác.
| Mặc định | Nếu bạn bỏ qua phần tử này, giá trị của thuộc tính tên của chính sách sẽ được sử dụng. |
| Sự hiện diện | Không bắt buộc |
| Loại | Chuỗi |
<Source>
<Source>JWS-variable</Source>
Nếu có, hãy chỉ định biến luồng mà chính sách dự kiến sẽ tìm JWS giải mã.
| Mặc định | request.header.authorization (Xem ghi chú ở trên để biết thông tin quan trọng
về mặc định). |
| Sự hiện diện | Không bắt buộc |
| Loại | Chuỗi |
| Giá trị hợp lệ | Tên biến luồng cạnh |
Biến luồng
Sau khi thành công, các chính sách Xác minh JWS và Giải mã JWS đã được thiết lập biến ngữ cảnh theo mẫu sau:
jws.{policy_name}.{variable_name}
Ví dụ: nếu tên chính sách là verify-jws, thì chính sách sẽ lưu trữ
thuật toán được chỉ định trong JWS cho biến ngữ cảnh này:
jws.verify-jws.header.algorithm
| Tên biến | Mô tả |
|---|---|
decoded.header.name |
Giá trị có thể phân tích cú pháp JSON của một tiêu đề trong tải trọng. Một biến được đặt cho
mọi tiêu đề trong tải trọng. Mặc dù bạn cũng có thể sử dụng các biến luồng header.name,
đây là biến được đề xuất dùng để truy cập vào tiêu đề. |
header.algorithm |
Thuật toán ký dùng trên JWS. Ví dụ: RS256, HS384, v.v. Hãy xem mục Thông số tiêu đề(Thuật toán) để tìm hiểu thêm. |
header.kid |
Mã khoá, nếu được thêm vào khi JWS được tạo. Xem thêm bài viết "Sử dụng bộ khoá web JSON (JWKS)" tại JWT và JWS tổng quan về chính sách để xác minh JWS. Hãy xem Tham số tiêu đề(Mã khoá) để tìm hiểu thêm. |
header.type |
Giá trị loại tiêu đề. Xem Thông số tiêu đề(Loại) để tìm hiểu thêm. |
header.name |
Giá trị của tiêu đề có tên (tiêu chuẩn hoặc bổ sung). Một trong những mức giá trị này sẽ được đặt cho mọi tiêu đề bổ sung trong phần tiêu đề của JWS. |
header-json |
Tiêu đề ở định dạng JSON. |
payload |
Tải trọng JWS nếu JWS có một tải trọng đính kèm. Đối với tải trọng tách rời, biến này trống. |
valid |
Trong trường VerifyJWS, biến này sẽ có giá trị true khi chữ ký được xác minh và
thời gian hiện tại là trước khi mã thông báo hết hạn và sau giá trị notBefore mã thông báo, nếu chúng
đều có sẵn. Còn không thì cờ này sẽ là false.
Trong trường hợp DecodeJWS, biến này không được thiết lập. |
Tham chiếu lỗi
This section describes the fault codes and error messages that are returned and fault variables that are set by Edge when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.
Runtime errors
These errors can occur when the policy executes.
| Fault code | HTTP status | Occurs when |
|---|---|---|
steps.jws.FailedToDecode |
401 | The policy was unable to decode the JWS. The JWS is possibly corrupted. |
steps.jws.FailedToResolveVariable |
401 | Occurs when the flow variable specified in the <Source> element of
the policy does not exist. |
steps.jws.InvalidClaim |
401 | For a missing claim or claim mismatch, or a missing header or header mismatch. |
steps.jws.InvalidJsonFormat |
401 | Invalid JSON found in the JWS header. |
steps.jws.InvalidJws |
401 | This error occurs when the JWS signature verification fails. |
steps.jws.InvalidPayload |
401 | The JWS payload is invalid. |
steps.jws.InvalidSignature |
401 | <DetachedContent> is omitted and the JWS has a detached content payload. |
steps.jws.MissingPayload |
401 | The JWS payload is missing. |
steps.jws.NoAlgorithmFoundInHeader |
401 | Occurs when the JWS omits the algorithm header. |
steps.jws.UnknownException |
401 | An unknown exception occurred. |
Deployment errors
These errors can occur when you deploy a proxy containing this policy.
| Error name | Occurs when |
|---|---|
InvalidAlgorithm |
The only valid values are: RS256, RS384, RS512, PS256, PS384, PS512, ES256, ES384, ES512, HS256, HS384, HS512. |
|
|
Other possible deployment errors. |
Biến lỗi
Các biến này được đặt khi xảy ra lỗi thời gian chạy. Để biết thêm thông tin, hãy xem bài viết Những điều bạn cần biết về lỗi chính sách.
| Biến | Trong đó | Ví dụ: |
|---|---|---|
fault.name="fault_name" |
fault_name là tên của lỗi, như được liệt kê trong bảng Lỗi thời gian chạy ở trên. Tên lỗi là phần cuối cùng của mã lỗi. | fault.name Matches "TokenExpired" |
JWS.failed |
Tất cả các chính sách JWS đều đặt cùng một biến trong trường hợp có lỗi. | jws.JWS-Policy.failed = true |
Ví dụ về phản hồi khi gặp lỗi
Để xử lý lỗi, phương pháp hay nhất là bẫy phần errorcode của lỗi
của bạn. Đừng dựa vào văn bản trong faultstring vì văn bản này có thể thay đổi.
Ví dụ về quy tắc lỗi
<FaultRules>
<FaultRule name="JWS Policy Errors">
<Step>
<Name>JavaScript-1</Name>
<Condition>(fault.name Matches "TokenExpired")</Condition>
</Step>
<Condition>JWS.failed=true</Condition>
</FaultRule>
</FaultRules>