Se usó la API de Cloud Translation para traducir esta página.

Política DecodeJWT

Estás viendo la documentación de Apigee Edge.
Ve a la Documentación de Apigee X. información

Qué

Decodifica un JWT sin verificar la firma en el JWT. Esto es más útil cuando se usa en conjunto con la política VerifyJWT, cuando se debe conocer el valor de una reclamación desde el JWT antes de verificar la firma del JWT.

La política de decodificación de JWT funciona sin importar el algoritmo que se usó para firmar el JWT. Consulta la descripción general de las políticas de JWS y JWT para obtener una introducción detallada.

Video

Mira un breve video para aprender cómo decodificar un JWT.

Muestra: Decodifica un JWT

La política que se muestra a continuación decodifica un JWT que se encuentra en la variable de flujo var.jwt. Esta variable debe estar presente y contener un JWT viable (decodificable). La política puede obtener el JWT de cualquier variable de flujo.

<DecodeJWT name="JWT-Decode-HS256">
    <DisplayName>JWT Verify HS256</DisplayName>
    <Source>var.jwt</Source>
</DecodeJWT>

La política escribe su resultado en variables de contexto para que las políticas o condiciones posteriores en el proxy de API puedan examinar esos valores. Consulta Variables de flujo para obtener una lista de las variables que establece esta política.

Referencia del elemento para decodificación de JWT

La referencia de política describe los elementos y atributos de la política de decodificación de JWS.

Atributos que se aplican al elemento de nivel superior

<DecodeJWT name="JWT" continueOnError="false" enabled="true" async="false">

Los siguientes atributos son comunes a todos los elementos superiores de la política.

Atributo	Descripción	Valor predeterminado	Presencia
name	El nombre interno de la política. Los caracteres que puede usar en el nombre están restringidos a: `A-Z0-9._\-$ %`. Sin embargo, la IU de administración de Edge aplica reglas restricciones, como quitar automáticamente los caracteres que no son alfanuméricos. De forma opcional, usa el elemento `<displayname></displayname>` para etiquetar la política en el editor de proxy de la IU de administración con un nombre de lenguaje natural diferente.	N/A	Obligatorio
continueOnError	Configúralo como `false` para devolver un error cuando una política falla. Este es el comportamiento previsto para la mayoría de las políticas. Configúralo como `true` para continuar con la ejecución del flujo incluso después de que una política falle.	falso	Opcional
habilitado	Configúralo como `true` para aplicar la política. Configúralo como `false` para “desactivar” la política. La política no se aplicará, incluso si permanece conectada a un flujo.	true	Opcional
async	Este atributo dejó de estar disponible.	falso	Obsoleta

<DisplayName>

<DisplayName>Policy Display Name</DisplayName>

Además de usar el atributo de nombre para etiquetar la política en el editor de proxy de IU de administración con un nombre diferente y con lenguaje natural.

Valor predeterminado	Si omites este elemento, se usa el valor del atributo de nombre de la política.
Presencia	Opcional
Tipo	String

<Source>

<Source>jwt-variable</Source>

Si está presente, especifica la variable de flujo en la que la política espera encontrar el JWS que se decodificará.

Nota: Según la configuración predeterminada, el JWS se recupera de la variable request.header.authorization. En este caso, Edge busca el JWT en el encabezado de la solicitud de autorización. Si pasas el JWT en el encabezado de autorización, no necesitas incluir el elemento de origen en la política. Sin embargo, debes incluir Portador en el encabezado de autenticación. Por ejemplo, debes transmitir el JWT en el encabezado de autorización de la siguiente manera:

curl -v http://52.200.92.187:9001/doctest-jwt/verify-rs256 -H "Authorization: Bearer <your JWT>"

Puedes configurar la política para recuperar el JWT desde una variable de parámetro de consulta o formulario, o cualquier otra variable. Si la variable no existe o si la política no puede encontrar el JWT, la política mostrará un error.

Predeterminada	`request.header.authorization` (consulta la nota anterior para obtener información importante sobre el valor predeterminado).
Presencia	Opcional
Tipo	String
Valores válidos	Un nombre de variable de flujo de Edge

Variables de flujo

Si se ejecuta de forma correcta, las políticas de verificación de JWT y decodificación de JWT establecen variables de contexto según este patrón:

jwt.{policy_name}.{variable_name}

Por ejemplo, si el nombre de la política es jwt-parse-token, la política almacenará el asunto especificado en el JWT en esta variable de contexto: jwt.jwt-parse-token.decoded.claim.sub (Para ofrecer retrocompatibilidad, también estará disponible en jwt.jwt-parse-token.claim.subject).

Nombre de la variable	Descripción
`claim.audience`	La reclamación de público de JWT. Este valor puede ser una string o un arreglo de strings.
`claim.expiry`	La fecha y hora de vencimiento, expresada en segundos desde el ciclo de entrenamiento.
`claim.issuedat`	La fecha en que se emitió el token, expresada en segundos desde el ciclo de entrenamiento.
`claim.issuer`	La reclamación de la entidad emisora de JWT.
`claim.notbefore`	Si el JWT incluye una reclamación nbf, esta variable contendrá el valor; expresada en milisegundos desde el ciclo de entrenamiento.
`claim.subject`	La reclamación del asunto de JWT.
`claim.name`	El valor de la reclamación con nombre (estándar o adicional) en la carga útil. Uno de estos se configurará para cada reclamación en la carga útil.
`decoded.claim.name`	El valor JSON analizable de la reclamación con nombre (estándar o adicional) en la carga útil. Se configura una variable para cada reclamación en la carga útil. Por ejemplo, puedes usar `decoded.claim.iat` para recupera la hora de emisión del JWT, expresada en segundos desde el ciclo de entrenamiento. Si bien también puedes usar las variables de flujo `claim.name`, esta es la variable recomendada para acceder a una reclamación.
`decoded.header.name`	El valor JSON analizable de un encabezado en la carga útil. Se configura una variable para cada encabezado de la carga útil. Si bien también puedes usar las variables de flujo `header.name`, esta es la variable recomendada para acceder a un encabezado.
`expiry_formatted`	La fecha y hora de vencimiento, con formato de string legible. Ejemplo: 2017-09-28T21:30:45.000+0000
`header.algorithm`	El algoritmo de firma que se usa en el JWT. Por ejemplo, RS256, HS384, etcétera. Consulta Parámetro de encabezado (algoritmo) para obtener más información.
`header.kid`	El ID de clave, si se agregó cuando se generó el JWT. Consulta también “Usa el conjunto de claves web de JSON (JWKS)” en la descripción general de las políticas de JWT para verificar uno. Consulta el Parámetro de encabezado (ID de clave) para obtener más información.
`header.type`	Se configurará como `JWT`.
`header.name`	El valor del encabezado con nombre (estándar o adicional). Uno de estos se establecerá para cada encabezado adicional en la parte del encabezado del JWT.
`header-json`	El encabezado en formato JSON
`is_expired`	True o False
`payload-claim-names`	Un arreglo de reclamaciones compatibles con JWT.
`payload-json`	La carga útil en formato JSON.
`seconds_remaining`	La cantidad de segundos antes de que venza el token. Si el token venció, este número será negativo.
`time_remaining_formatted`	El tiempo restante antes de que el token venza, con el formato de una string legible. Ejemplo: 00:59:59.926
`valid`	En el caso de VerifyJWT, esta variable será verdadera cuando se verifique la firma y la hora actual será anterior al vencimiento del token y, si están presentes, después del valor notBefore. De lo contrario, es falso. En el caso de DecodeJWT, esta variable no está configurada.

Referencia de errores

This section describes the fault codes and error messages that are returned and fault variables that are set by Edge when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.

Runtime errors

These errors can occur when the policy executes.

Fault code	HTTP status	Cause
`steps.jwt.FailedToDecode`	401	Occurs when the policy is unable to decode the JWT. The JWT may be malformed, invalid or otherwise not decodable.
`steps.jwt.FailedToResolveVariable`	401	Occurs when the flow variable specified in the `<Source>` element of the policy does not exist.
`steps.jwt.InvalidToken`	401	Occurs when the flow variable specified in the `<Source>` element of the policy is out of scope or can't be resolved.

Deployment errors

These errors can occur when you deploy a proxy containing this policy.

Error name	Cause	Fix
`InvalidEmptyElement`	Occurs when the flow variable containing the JWT to be decoded is not specified in the `<Source>` element of the policy.

Fault variables

These variables are set when a runtime error occurs. For more information, see What you need to know about policy errors.

Variables	Where	Example
`fault.name="fault_name"`	`fault_name` is the name of the fault, as listed in the Runtime errors table above. The fault name is the last part of the fault code.	`fault.name Matches "TokenExpired"`
`JWT.failed`	All JWT policies set the same variable in the case of a failure.	`JWT.failed = true`

Example error response

JWT Policy Fault Codes

For error handling, the best practice is to trap the errorcode part of the error response. Do not rely on the text in the faultstring, because it could change.

Example fault rule

    <FaultRules>
        <FaultRule name="JWT Policy Errors">
            <Step>
                <Name>JavaScript-1</Name>
                <Condition>(fault.name Matches "TokenExpired")</Condition>
            </Step>
            <Condition>JWT.failed=true</Condition>
        </FaultRule>
    </FaultRules>