Kebijakan GenerateJWS

Anda sedang melihat dokumentasi Apigee Edge.
Buka dokumentasi Apigee X. info

Apa

Membuat JWS bertanda tangan, dengan kumpulan klaim yang dapat dikonfigurasi. JWS kemudian dapat dikembalikan ke klien, dikirim ke target backend, atau digunakan dengan cara lain. Lihat Ringkasan kebijakan JWS dan JWT untuk pengantar mendetail.

Untuk mempelajari bagian-bagian JWS serta cara mengenkripsi dan menandatanganinya, lihat RFC7515.

Video

Tonton video singkat untuk mempelajari cara membuat JWT bertanda tangan. Meskipun video ini khusus untuk membuat JWT, banyak konsepnya sama dengan JWS.

Contoh

Membuat JWS terlampir yang ditandatangani dengan algoritma HS256
Buat JWS terpisah yang ditandatangani dengan algoritma RS256

Buat JWS terlampir yang ditandatangani dengan algoritma HS256

Contoh kebijakan ini membuat JWS terlampir dan menandatanganinya menggunakan algoritma HS256. HS256 mengandalkan rahasia bersama untuk menandatangani dan memverifikasi tanda tangan.

JWS terlampir berisi header, payload, dan tanda tangan yang dienkode:

header.payload.signature

Tetapkan <DetachContent> ke benar (true) untuk membuat konten yang terpisah. Lihat Bagian-bagian JWS/JWT untuk mengetahui struktur dan format JWS lebih lanjut.

Gunakan elemen <Payload> untuk menentukan payload JWS mentah yang tidak dienkode. Dalam contoh ini, variabel berisi payload. Saat tindakan kebijakan ini dipicu, Edge mengenkode header dan payload JWS, lalu menambahkan tanda tangan yang dienkode untuk menandatangani JWS secara digital.

Konfigurasi kebijakan di bawah ini membuat JWS dari payload yang ada dalam variabel private.payload.

<GenerateJWS name="JWS-Generate-HS256">
    <DisplayName>JWS Generate HS256</DisplayName>
    <Algorithm>HS256</Algorithm>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <SecretKey>
        <Value ref="private.secretkey"/>
        <Id>1918290</Id>
    </SecretKey>
    <Payload ref="private.payload" />
    <OutputVariable>jws-variable</OutputVariable>
</GenerateJWS>

Buat JWS terpisah yang ditandatangani dengan algoritma RS256

Catatan: Gunakan contoh yang sama ini untuk membuat JWS bagi algoritma PS256 atau ES256. Cukup ubah nilai <Algorithm>RS256</Algorithm> menjadi PS256 atau ES256. Untuk ES256, Anda juga harus menentukan kunci yang kompatibel dengan algoritma. Untuk mengetahui informasi selengkapnya tentang persyaratan utama, lihat Tentang algoritma enkripsi tanda tangan.

Contoh kebijakan ini membuat JWS terpisah dan menandatanganinya menggunakan algoritma RS256. Membuat tanda tangan RS256 bergantung pada kunci pribadi RSA, yang harus diberikan dalam bentuk yang dienkode PEM.

JWS yang terlepas menghilangkan payload dari JWS:

header..signature

Gunakan elemen <Payload> untuk menentukan payload JWS mentah yang tidak dienkode. Saat kebijakan ini dipicu, Edge mengenkode header dan payload JWS, lalu menggunakannya untuk membuat tanda tangan yang dienkode. Namun, JWS yang dihasilkan menghilangkan payload. Anda dapat meneruskan payload ke kebijakan VerifyJWS menggunakan elemen <DetachedContent> dari kebijakan VerifyJWS.

<GenerateJWS name="JWS-Generate-RS256">
    <DisplayName>JWS Generate RS256</DisplayName>
    <Algorithm>RS256</Algorithm>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <PrivateKey>
        <Value ref="private.privatekey"/>
        <Password ref="private.privatekey-password"/>
        <Id ref="private.privatekey-id"/>
    </PrivateKey>
    <Payload ref="private.payload" />
    <DetachContent>true</DetachContent>
    <OutputVariable>jws-variable</OutputVariable>
</GenerateJWS>

Menetapkan elemen utama

Elemen yang Anda gunakan untuk menentukan kunci yang digunakan untuk membuat JWS bergantung pada algoritma yang dipilih, seperti yang ditunjukkan dalam tabel berikut:

Algoritma	Elemen utama
HS{256/384/512}^*	<SecretKey> <Value ref="private.secretkey"/> <Id>1918290</Id> </SecretKey>
RS/PS/ES{256/384/512}^*	<PrivateKey> <Value ref="private.privatekey"/> <Password ref="private.privatekey-password"/> <Id ref="private.privatekey-id"/> </PrivateKey> Elemen `<Password>` dan `<Id>` bersifat opsional.
^*Untuk mengetahui informasi selengkapnya tentang persyaratan utama, lihat Tentang algoritma enkripsi tanda tangan.

Referensi elemen untuk Generate JWS

Referensi kebijakan menjelaskan elemen dan atribut kebijakan Generate JWS.

Catatan: Konfigurasi akan sedikit berbeda, bergantung pada algoritma enkripsi yang Anda gunakan. Lihat Contoh untuk contoh yang menunjukkan konfigurasi untuk kasus penggunaan tertentu.

Atribut yang diterapkan ke elemen tingkat teratas

<GenerateJWS name="JWS" continueOnError="false" enabled="true" async="false">

Atribut berikut umum untuk semua elemen induk kebijakan.

Atribut	Deskripsi	Default	Kehadiran
nama	Nama internal kebijakan. Karakter yang dapat Anda gunakan dalam nama dibatasi menjadi: `A-Z0-9._\-$ %`. Namun, UI pengelolaan Edge menerapkan batasan tambahan, seperti menghapus karakter yang bukan alfanumerik secara otomatis. Secara opsional, gunakan elemen `<displayname></displayname>` untuk melabeli kebijakan di editor proxy UI pengelolaan dengan nama bahasa alami yang berbeda.	T/A	Wajib
continueOnError	Disetel ke `false` untuk menampilkan error saat kebijakan gagal. Hal ini adalah perilaku yang diharapkan untuk sebagian besar kebijakan. Setel ke `true` agar eksekusi alur berlanjut meskipun kebijakan gagal.	false	Opsional
diaktifkan	Setel ke `true` untuk menerapkan kebijakan. Setel ke `false` untuk "menonaktifkan" kebijakan. Kebijakan tidak akan diterapkan meskipun tetap terlampir pada alur.	true	Opsional
asinkron	Atribut ini tidak digunakan lagi.	false	Tidak digunakan lagi

<DisplayName>

<DisplayName>Policy Display Name</DisplayName>

Gunakan selain atribut nama untuk memberi label kebijakan di editor proxy UI pengelolaan dengan nama bahasa alami yang berbeda.

Default	Jika Anda menghapus elemen ini, nilai atribut nama kebijakan akan digunakan.
Kehadiran	Opsional
Jenis	String

<Algorithm>

<Algorithm>algorithm-here</Algorithm>

Menentukan algoritma enkripsi untuk menandatangani token.

Default	T/A
Kehadiran	Wajib
Jenis	String
Nilai yang valid	HS256, HS384, HS512, RS256, RS384, RS512, ES256, ES384, ES512, PS256, PS384, PS512

<AdditionalHeaders/Claim>

<AdditionalHeaders>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
    <Claim name='claim4' ref='variable-name' type='string' array='true'/>
 </AdditionalHeaders>

Menempatkan pasangan nama/nilai klaim tambahan di header untuk JWS.

Elemen <Claim> mendukung fitur penggantian string dinamis yang disebut template pesan saat type=map.

Default	T/A
Kehadiran	Opsional
Nilai yang valid	Nilai apa pun yang ingin Anda gunakan untuk klaim tambahan. Anda dapat menentukan klaim secara eksplisit sebagai string, angka, boolean, peta, atau array.

Elemen <Claim> menggunakan atribut berikut:

name - (Wajib) Nama klaim.
Catatan: Jangan gunakan nama klaim terdaftar apa pun dalam elemen ini. Klaim terdaftar ditentukan dalam RFC7519. Klaim ini mencakup: "iss", "sub", "aud", "iat", "exp", "nbf", dan "jti".
ref - (Opsional) Nama variabel alur. Jika ada, kebijakan akan menggunakan nilai variabel ini sebagai klaim. Jika atribut ref dan nilai klaim eksplisit ditentukan, nilai eksplisit adalah nilai default, dan digunakan jika variabel alur yang dirujuk tidak terselesaikan.
Peringatan: Jika ref digunakan dengan type=map dan jika variabel berisi input yang tidak tepercaya (misalnya, dari header permintaan atau parameter kueri), penyerang dapat menyuntikkan ekspresi template. Misalnya, penyerang dapat menggunakan {private.secret} untuk mengekstrak data sensitif dari konteks pesan. Lindungi diri Anda dari risiko ini. Lihat Mencegah injeksi template saat menggunakan JWS dan JWT untuk mengetahui informasi selengkapnya.
type - (Opsional) Salah satu dari: string (default), angka, boolean, atau peta
array - (Opsional) Tetapkan ke true untuk menunjukkan apakah nilai adalah array jenis. Default: false.

<CriticalHeaders>

<CriticalHeaders>a,b,c</CriticalHeaders>

or:

<CriticalHeaders ref=’variable_containing_headers’/>

Menambahkan header penting, crit, ke JWS. Header crit adalah array nama header yang harus diketahui dan dikenali oleh penerima JWS. Contoh:

{
  “typ: “...”,
  “alg” : “...”,
  “crit” : [ “a”, “b”, “c” ],
}

Saat runtime, kebijakan VerifyJWS memeriksa header crit. Untuk setiap header yang tercantum di header crit, header tersebut akan memeriksa apakah elemen <KnownHeaders> kebijakan VerifyJWS juga mencantumkan header tersebut. Header apa pun yang ditemukan kebijakan VerifyJWS di crit yang tidak tercantum di <KnownHeaders> menyebabkan kebijakan VerifyJWS gagal.

Catatan: <CriticalHeaders> tidak benar-benar menambahkan header ke JWS. Header ini hanya menentukan konten header crit. Anda dapat menggunakan <AdditionalHeader/Claims> untuk menambahkan klaim.

Default	T/A
Kehadiran	Opsional
Jenis	Array string yang dipisahkan koma
Nilai yang valid	Array atau nama variabel yang berisi array.

<DetachContent>

<DetachContent>true|false</DetachContent>

Menentukan apakah akan membuat JWS dengan payload terpisah, <DetachContent>true</DetachContent>, atau tidak, <DetachContent>false</DetachContent>.

Jika Anda menentukan false, default, JWS yang dihasilkan akan berbentuk:

header.payload.signature

Jika Anda menentukan benar (true) untuk membuat payload yang terpisah, JWS yang dihasilkan akan menghilangkan payload dan berbentuk:

header..signature

Dengan payload yang terpisah, Anda dapat meneruskan payload asli yang tidak dienkode ke kebijakan VerifyJWS dengan menggunakan elemen <DetachedContent> dari kebijakan VerifyJWS.

Default	false
Kehadiran	Opsional
Jenis	Boolean
Nilai yang valid	benar atau salah

<IgnoreUnresolvedVariables>

<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>

Setel ke salah (false) jika Anda ingin kebijakan menampilkan error saat variabel yang dirujuk yang ditentukan dalam kebijakan tidak dapat diselesaikan. Setel ke benar (true) untuk memperlakukan variabel yang tidak dapat diselesaikan sebagai string kosong (null).

Default	false
Kehadiran	Opsional
Jenis	Boolean
Nilai yang valid	benar atau salah

<OutputVariable>

<OutputVariable>JWS-variable</OutputVariable>

Menentukan tempat untuk menempatkan JWS yang dihasilkan oleh kebijakan ini. Secara default, nilai ini ditempatkan ke dalam variabel alur jws.POLICYNAME.generated_jws.

Default	`jws.POLICYNAME.generated_jws`
Kehadiran	Opsional
Jenis	String (nama variabel alur)

<Payload>

<Payload ref="flow-variable-name-he>re&quo<t; /

o>r

Payloadpay<load-val>ue/Payload

Menentukan payload JWS mentah yang tidak dienkode. Tentukan variabel yang berisi payload, atau string.

Elemen <Payload> mendukung fitur penggantian string dinamis yang disebut template pesan. Template pesan memungkinkan Anda melakukan penggantian string variabel dalam string payload-value. Dalam contoh berikut, payload terdapat dalam parameter formulir sebagai bagian dari permintaan:

<Payload>A JWS payload from a variable: {request.formparam.payload}</Payload>

Peringatan: Jika ref digunakan dengan elemen <Payload>, penyerang dapat menyuntikkan ekspresi template. Misalnya, penyerang dapat menggunakan {private.secret} untuk mengekstrak data sensitif dari konteks pesan. Lindungi diri Anda dari risiko ini. Lihat Mencegah injeksi template saat menggunakan JWS dan JWT untuk mengetahui informasi selengkapnya.

Default	T/A
Kehadiran	Wajib
Jenis	String, array byte, stream, atau representasi lain dari payload JWS yang tidak dienkode.

<PrivateKey/Id>

<PrivateKey>
  <Id ref="flow-variable-name-h>e<re"/
/>Privat<eKey

or

>Pri<va>teKey
  Idyour-id-<val>u<e-here/Id
/>PrivateKey

Menentukan ID kunci (kid) yang akan disertakan dalam header JWS. Gunakan hanya jika algoritma adalah salah satu dari RS256/RS384/RS512, PS256/PS384/PS512, atau ES256/ES384/ES512.

Default	T/A
Kehadiran	Opsional
Jenis	String
Nilai yang valid	Variabel atau string alur

<PrivateKey/Password>

<PrivateKey>
  <Password ref="private.privatekey-passw>o<rd"/
/>PrivateKey

Tentukan sandi yang harus digunakan kebijakan untuk mendekripsi kunci pribadi, jika perlu. Gunakan atribut ref untuk meneruskan kunci dalam variabel alur. Gunakan hanya jika algoritma adalah salah satu dari RS256/RS384/RS512, PS256/PS384/PS512, atau ES256/ES384/ES512.

Default	T/A
Kehadiran	Opsional
Jenis	String
Nilai yang valid	Referensi variabel alur. Catatan: Anda harus menentukan variabel alur. Edge akan menolak konfigurasi kebijakan yang menentukan sandi dalam teks biasa sebagai tidak valid. Variabel alur harus memiliki awalan "private". Misalnya, `private.mypassword`

<PrivateKey/Value>

<PrivateKey>
  <Value ref="private.variable-name-h>e<re"/
/>PrivateKey

Menentukan kunci pribadi berenkode PEM yang digunakan untuk menandatangani JWS. Gunakan atribut ref untuk meneruskan kunci dalam variabel alur. Gunakan hanya jika algoritma adalah salah satu dari RS256/RS384/RS512, PS256/PS384/PS512, atau ES256/ES384/ES512.

Default	T/A
Kehadiran	Wajib untuk membuat JWS menggunakan algoritma RS256.
Jenis	String
Nilai yang valid	Variabel alur yang berisi string yang merepresentasikan nilai kunci pribadi RSA berenkode PEM. Catatan: Variabel alur harus memiliki awalan "private". Contoh, `private.mykey`

<SecretKey/Id>

<SecretKey>
  <Id ref="flow-variable-name-h>e<re"/
>/Secre<tKey

or
>
Se<cr>etKey
  Idyour-id-<val>u<e-here/Id
>/SecretKey

Menentukan ID kunci (kid) yang akan disertakan dalam header JWS dari JWS yang ditandatangani dengan algoritma HMAC. Gunakan hanya jika algoritma adalah salah satu dari HS256/HS384/HS512.

Default	T/A
Kehadiran	Opsional
Jenis	String
Nilai yang valid	Variabel atau string alur

<SecretKey/Value>

<SecretKey>
  <Value ref="private.your-variable-n>a<me"/
>/SecretKey

Memberikan kunci rahasia yang digunakan untuk memverifikasi atau menandatangani token dengan algoritma HMAC. Gunakan hanya jika algoritma adalah salah satu dari HS256/HS384/HS512. Gunakan atribut ref untuk meneruskan kunci dalam variabel alur.

Edge menerapkan kekuatan kunci minimum untuk algoritma HS256/HS384/HS512. Panjang kunci minimum untuk HS256 adalah 32 byte, untuk HS384 adalah 48 byte, dan untuk HS512 adalah 64 byte. Menggunakan kunci dengan kekuatan yang lebih rendah akan menyebabkan error runtime.

Default	T/A
Kehadiran	Diperlukan untuk algoritma HMAC.
Jenis	String
Nilai yang valid	Variabel alur yang merujuk ke string Catatan: Jika merupakan variabel alur, variabel tersebut harus memiliki awalan "private". Misalnya, `private.mysecret`

Variabel alur

Kebijakan Generate JWS tidak menetapkan variabel alur.

Referensi error

Bagian ini menjelaskan kode kesalahan dan pesan error yang ditampilkan dan variabel kesalahan yang disetel oleh Edge saat kebijakan ini memicu error. Informasi ini penting untuk diketahui apakah Anda mengembangkan aturan kesalahan untuk menangani kesalahan. Untuk mempelajari lebih lanjut, lihat Hal yang perlu Anda ketahui tentang error kebijakan dan Menangani kesalahan.

Error runtime

Error ini dapat terjadi saat kebijakan dieksekusi.

Kode kesalahan	Status HTTP	Terjadi saat
`steps.jws.GenerationFailed`	401	Kebijakan ini tidak dapat menghasilkan JWS.
`steps.jws.InsufficientKeyLength`	401	Untuk kunci kurang dari 32 byte untuk algoritma HS256
`steps.jws.InvalidClaim`	401	Karena klaim atau klaim tidak cocok, atau ketidakcocokan header atau header tidak ada.
`steps.jws.InvalidCurve`	401	Kurva yang ditentukan oleh kunci tidak valid untuk algoritma Kurva Eliptis.
`steps.jws.InvalidJsonFormat`	401	JSON yang tidak valid ditemukan di header JWS.
`steps.jws.InvalidPayload`	401	Payload JWS tidak valid.
`steps.jws.InvalidSignature`	401	`<DetachedContent>` dihilangkan dan JWS memiliki payload konten terpisah.
`steps.jws.KeyIdMissing`	401	Kebijakan Verifikasi menggunakan JWKS sebagai sumber untuk kunci publik, tetapi JWS yang ditandatangani tidak menyertakan properti `kid` di header.
`steps.jws.KeyParsingFailed`	401	Kunci publik tidak dapat diuraikan dari informasi kunci yang diberikan.
`steps.jws.MissingPayload`	401	Payload JWS tidak ada.
`steps.jws.NoAlgorithmFoundInHeader`	401	Terjadi saat JWS menghilangkan header algoritma.
`steps.jws.SigningFailed`	401	Dalam GenerateJWS, untuk kunci yang kurang dari ukuran minimum untuk algoritma HS384 atau HS512
`steps.jws.UnknownException`	401	Terjadi pengecualian yang tidak diketahui.
`steps.jws.WrongKeyType`	401	Jenis kunci yang ditentukan salah. Misalnya, jika Anda menentukan kunci RSA untuk algoritma Kurva Elliptik, atau kunci kurva untuk algoritma RSA.

Error saat deployment

Error ini dapat terjadi saat Anda men-deploy proxy yang berisi kebijakan ini.

Nama error Terjadi saat

InvalidAlgorithm Satu-satunya nilai yang valid adalah: RS256, RS384, RS512, PS256, PS384, PS512, ES256, ES384, ES512, HS256, HS384, HS512.

Nama error	Terjadi saat
`InvalidAlgorithm`	Satu-satunya nilai yang valid adalah: RS256, RS384, RS512, PS256, PS384, PS512, ES256, ES384, ES512, HS256, HS384, HS512.
`EmptyElementForKeyConfiguration` `FailedToResolveVariable` `InvalidConfigurationForActionAndAlgorithmFamily` `InvalidConfigurationForVerify` `InvalidEmptyElement` `InvalidFamiliesForAlgorithm` `InvalidKeyConfiguration` `InvalidNameForAdditionalClaim` `InvalidNameForAdditionalHeader` `InvalidPublicKeyId` `InvalidPublicKeyValue` `InvalidSecretInConfig` `InvalidTypeForAdditionalClaim` `InvalidTypeForAdditionalHeader` `InvalidValueForElement` `InvalidValueOfArrayAttribute` `InvalidVariableNameForSecret` `MissingConfigurationElement` `MissingElementForKeyConfiguration` `MissingNameForAdditionalClaim` `MissingNameForAdditionalHeader`	Kemungkinan error deployment lainnya.

EmptyElementForKeyConfiguration

FailedToResolveVariable

InvalidConfigurationForActionAndAlgorithmFamily

InvalidConfigurationForVerify

InvalidEmptyElement

InvalidFamiliesForAlgorithm

InvalidKeyConfiguration

InvalidNameForAdditionalClaim

InvalidNameForAdditionalHeader

InvalidPublicKeyId

InvalidPublicKeyValue

InvalidSecretInConfig

InvalidTypeForAdditionalClaim

InvalidTypeForAdditionalHeader

InvalidValueForElement

InvalidValueOfArrayAttribute

InvalidVariableNameForSecret

MissingConfigurationElement

MissingElementForKeyConfiguration

MissingNameForAdditionalClaim

MissingNameForAdditionalHeader

Kemungkinan error deployment lainnya.

Variabel error

Variabel ini ditetapkan saat error runtime terjadi. Untuk mengetahui informasi selengkapnya, lihat Yang perlu Anda ketahui tentang error kebijakan.

Variabel	Dari mana	Contoh
`fault.name="fault_name"`	`fault_name` adalah nama error, seperti yang tercantum dalam tabel Runtime errors di atas. Nama error adalah bagian terakhir dari kode error.	`fault.name Matches "TokenExpired"`
`JWS.failed`	Semua kebijakan JWS menetapkan variabel yang sama jika terjadi kegagalan.	`jws.JWS-Policy.failed = true`

Contoh respons error

Untuk penanganan error, praktik terbaiknya adalah menjebak bagian errorcode dari respons error. Jangan mengandalkan teks di faultstring, karena teks tersebut dapat berubah.

Contoh aturan error

<FaultRules>
    <FaultRule name="JWS Policy Errors">
        <Step>
            <Name>JavaScript-1</Name>
            <Condition>(fault.name Matches "TokenExpired")</Condition>
        </Step>
        <Condition>JWS.failed=true</Condition>
    </FaultRule>
</FaultRules>