Wygeneruj zasadę JWS

Przeglądasz dokumentację Apigee Edge.
Przejdź do Dokumentacja Apigee X. informacje.

Co

Generuje podpisany JWS z konfigurowalnym zestawem deklaracji. Kod JWS może następnie zostać zwrócony do przesyłanych do celów backendu lub w inny sposób. Szczegółowe informacje znajdziesz w omówieniu zasad JWS i JWT.

Informacje o częściach kodu JWS oraz sposobie ich szyfrowania i podpisywania znajdziesz tutaj: RFC7515

Wideo

Obejrzyj krótki film, aby dowiedzieć się, jak wygenerować podpisany token JWT. W tym filmie związane z generowaniem tokena JWT, wiele koncepcji jest takich samych w przypadku JWS.

Przykłady

Wygeneruj załączony plik JWS podpisany przy użyciu kodu HS256 algorytm

Ta przykładowa zasada generuje dołączony plik JWS i podpisuje go za pomocą algorytmu HS256. Zasady HS256 na udostępnionym obiekcie tajnym zarówno do podpisywania, jak i weryfikacji podpisu.

Załączony plik JWS zawiera zakodowany nagłówek, ładunek i podpis:

header.payload.signature

Aby wygenerować odłączone treści, ustaw <DetachContent> na wartość true (prawda). Więcej informacji znajdziesz w sekcji o częściach kodu JWS/JWT strukturę i format JWS.

Użyj elementu <Payload>, aby określić nieprzetworzony, niezakodowany ładunek JWS. W tym przykładzie zmienna zawiera ładunek. Po wywołaniu tego działania związanego z zasadami Edge koduje nagłówek i ładunek JWS, a następnie dodaje zakodowany podpis do cyfrowego podpisywania JWS.

Poniższa konfiguracja zasady tworzy klucz JWS z ładunku zawartego w zmiennej private.payload

<GenerateJWS name="JWS-Generate-HS256">
    <DisplayName>JWS Generate HS256</DisplayName>
    <Algorithm>HS256</Algorithm>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <SecretKey>
        <Value ref="private.secretkey"/>
        <Id>1918290</Id>
    </SecretKey>
    <Payload ref="private.payload" />
    <OutputVariable>jws-variable</OutputVariable>
</GenerateJWS>

Wygeneruj odłączony klucz JWS podpisany przy użyciu protokołu RS256 algorytm

Ta przykładowa zasada generuje odłączony plik JWS i podpisuje go algorytmem RS256. Generowanie Podpis RS256 opiera się na kluczu prywatnym RSA, który należy podać w postaci zakodowanej w formacie PEM.

Odłączona wersja JWS pomija ładunek w JWS:

header..signature

Użyj elementu <Payload>, aby określić nieprzetworzony, niezakodowany ładunek JWS. Po aktywowaniu tej zasady Edge koduje nagłówek i ładunek JWS, a następnie używa ich do wygenerowania zakodowanego podpisu. Wygenerowany JWS jednak pomija ładunek. Od Ciebie zależy przekazanie ładunku do zasady VerifyJWS za pomocą metody Element <DetachedContent> zasady VerifyJWS.

<GenerateJWS name="JWS-Generate-RS256">
    <DisplayName>JWS Generate RS256</DisplayName>
    <Algorithm>RS256</Algorithm>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <PrivateKey>
        <Value ref="private.privatekey"/>
        <Password ref="private.privatekey-password"/>
        <Id ref="private.privatekey-id"/>
    </PrivateKey>
    <Payload ref="private.payload" />
    <DetachContent>true</DetachContent>
    <OutputVariable>jws-variable</OutputVariable>
</GenerateJWS>

Wyznaczanie kluczowych elementów

Elementy używane do określania klucza używanego do generowania JWS zależą od wybranego algorytmu: zgodnie z poniższą tabelą:

Algorytm Kluczowe elementy
HS{256/384/512}* 
<SecretKey>
  <Value ref="private.secretkey"/>
  <Id>1918290</Id>
</SecretKey>
RS/PS/ES{256/384/512}* 
<PrivateKey>
  <Value ref="private.privatekey"/>
  <Password ref="private.privatekey-password"/>
  <Id ref="private.privatekey-id"/>
</PrivateKey>

Elementy <Password> i <Id> są opcjonalne.
* Więcej informacji o najważniejszych wymaganiach znajdziesz w artykule Informacje o algorytmach szyfrowania podpisu

Dokumentacja elementu dla funkcji generowania kodu JWS

Opis zasad zawiera opis elementów i atrybutów zasady Generate JWS (Wygeneruj kod JWS).

Uwaga: konfiguracja może się nieco różnić w zależności od szyfrowania stosowanego algorytmu. Zapoznaj się z przykładami, aby zademonstrować do konkretnych zastosowań.

Atrybuty, które zastosuj do elementu najwyższego poziomu

<GenerateJWS name="JWS" continueOnError="false" enabled="true" async="false">

Poniższe atrybuty są wspólne dla wszystkich elementów nadrzędnych zasad.

Atrybut Opis Domyślnie Obecność
nazwa Wewnętrzna nazwa zasady. W nazwie można używać tylko następujących znaków: A-Z0-9._\-$ % Interfejs zarządzania brzegowego wymusza jednak dodatkowe takich jak automatyczne usuwanie znaków innych niż alfanumeryczne.

Opcjonalnie możesz użyć elementu <displayname></displayname> do: oznaczyć zasadę w edytorze proxy interfejsu zarządzania innym, naturalnym językiem imię i nazwisko.

 Nie dotyczy Wymagane
continueOnError Ustaw jako false, aby w przypadku niepowodzenia zasady zwracany był błąd. To normalne w przypadku większości zasad.

Ustaw jako true, aby wykonywanie przepływu było kontynuowane nawet po zastosowaniu zasady niepowodzenie.

 fałsz Opcjonalnie
włączone Aby egzekwować zasadę, ustaw wartość true.

Ustaw „Wyłącz” na: false zasady. Zasada nie zostanie wyegzekwowana nawet jeśli jest ono połączone z procesem.

 prawda Opcjonalnie
asynchroniczny Ten atrybut został wycofany. fałsz Wycofano

&lt;DisplayName&gt;

<DisplayName>Policy Display Name</DisplayName>

Użyj oprócz atrybutu name [nazwa], aby oznaczyć zasadę etykietą w edytorze serwera proxy w interfejsie zarządzania z inną nazwą w języku naturalnym.

Domyślnie Jeśli pominiesz ten element, zostanie użyta wartość atrybutu nazwa zasady.
Obecność Opcjonalnie
Typ Ciąg znaków

&lt;Algorithm&gt;

<Algorithm>algorithm-here</Algorithm>

Określa algorytm szyfrowania do podpisywania tokena.

Domyślnie Nie dotyczy
Obecność Wymagane
Typ Ciąg znaków
Prawidłowe wartości HS256, HS384, HS512, RS256, RS384, RS512, ES256, ES384, ES512, PS256, PS384, PS512

&lt;AdditionalHeaders/Claim&gt;

<AdditionalHeaders>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
    <Claim name='claim4' ref='variable-name' type='string' array='true'/>
 </AdditionalHeaders>

Umieszcza dodatkowe pary nazwa/wartość żądania w nagłówku kodu JWS.

Domyślnie Nie dotyczy
Obecność Opcjonalnie
Prawidłowe wartości Każda wartość, która ma być używana w dodatkowym roszczeniu. Możesz określić jako ciąg, liczbę, wartość logiczną, mapę lub tablicę.

Element <Claim> ma te atrybuty:

  • name – (wymagany) nazwa roszczenia.
  • ref – (opcjonalny) nazwa zmiennej przepływu. Jeśli ten parametr jest obecny, zasada użyje wartości tego parametru jako twierdzenia. Jeśli podasz zarówno atrybut ref, jak i jednoznaczną wartość roszczenia, w parametrze wartość wyraźna jest wartością domyślną i jest używana, jeśli wskazana zmienna przepływu nie została rozwiązana.
  • type – (opcjonalny) jeden z: ciąg (wartość domyślna), liczba, wartość logiczna lub mapa.
  • array – (opcjonalny) ustaw wartość true, aby wskazać, czy wartość jest tablicą typów. Domyślne: false (fałsz).

&lt;CriticalHeaders&gt;

<CriticalHeaders>a,b,c</CriticalHeaders>

or:

<CriticalHeaders ref=variable_containing_headers/>

Dodaje nagłówek krytyczny (crit) do pliku JWS. nagłówek crit, to tablica nazw nagłówków, które muszą być znane i rozpoznane przez odbiornik JWS. Na przykład:

{
  “typ: “...”,
  “alg” : “...”,
  “crit” : [ “a”, “b”, “c” ],
}

W czasie działania zasadaVerifyJWS sprawdza nagłówek crit. W przypadku każdego nagłówka wymienionego w nagłówku crit sprawdza, czy element <KnownHeaders> zasady VerifyJWS zawiera również ten nagłówek. Dowolny nagłówek znaleziony przez zasadę VerifyJWS w pliku crit który nie jest wymieniony w tabeli <KnownHeaders>, powoduje błąd zasady VerifyJWS.

Domyślnie Nie dotyczy
Obecność Opcjonalnie
Typ Tablica ciągów znaków rozdzielonych przecinkami
Prawidłowe wartości Tablica lub nazwa zmiennej zawierającej tablicę.

&lt;DetachContent&gt;

<DetachContent>true|false</DetachContent>

Określa, czy komponent JWS ma być generowany z odłączonym ładunkiem (<DetachContent>true</DetachContent>), lub nie, <DetachContent>false</DetachContent>.

Jeśli podasz wartość false (fałsz), domyślnym kodem JWS będzie następujący format:

header.payload.signature

Jeśli ustawisz wartość true, aby utworzyć ładunek odłączony, wygenerowany JWS pominie ten ładunek i ma postać:

header..signature

W przypadku odłączonego ładunku to Ty decydujesz, czy chcesz przekazać oryginalny, niezakodowany ładunek do zasadyVerifyJWS. za pomocą elementu <DetachedContent> zasady VerifyJWS.

Domyślnie fałsz
Obecność Opcjonalnie
Typ Wartość logiczna
Prawidłowe wartości prawda lub fałsz

&lt;IgnoreUnresolvedVariables&gt;

<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>

Jeśli chcesz, aby zasada zwracała błąd, gdy określona zmienna jest wskazana, ustaw wartość Fałsz. jest nierozstrzygnięta. Ustaw wartość „true”, aby traktować każdą nierozpoznawalną zmienną jako pusty ciąg znaków (null).

Domyślnie fałsz
Obecność Opcjonalnie
Typ Wartość logiczna
Prawidłowe wartości prawda lub fałsz

&lt;OutputVariable&gt;

<OutputVariable>JWS-variable</OutputVariable>

Określa, gdzie ma zostać umieszczony klucz JWS wygenerowany przez tę zasadę. Domyślnie jest on umieszczany w sekcji zmienna przepływu: jws.POLICYNAME.generated_jws.

Domyślnie jws.POLICYNAME.generated_jws
Obecność Opcjonalnie
Typ Ciąg znaków (nazwa zmiennej przepływu)

&lt;Payload&gt;

<Payload ref="flow-variable-name-here" />

or

<Payload>payload-value</Payload>

Określa nieprzetworzony, niezakodowany ładunek JWS. Określ zmienną zawierającą ładunek lub ciąg znaków.

Domyślnie Nie dotyczy
Obecność Wymagane
Typ Ciąg, tablica bajtów, strumień lub dowolna inna reprezentacja niezakodowanego ładunku JWS.

&lt;PrivateKey/Id&gt;

<PrivateKey>
  <Id ref="flow-variable-name-here"/>
</PrivateKey>

or

<PrivateKey>
  <Id>your-id-value-here</Id>
</PrivateKey>

Określa identyfikator klucza (kid) do uwzględnienia w nagłówku JWS. Tylko używanie gdy algorytm to RS256/RS384/RS512, PS256/PS384/PS512 lub ES256/ES384/ES512.

Domyślnie Nie dotyczy
Obecność Opcjonalnie
Typ Ciąg znaków
Prawidłowe wartości Zmienna lub ciąg znaków przepływu

&lt;PrivateKey/Password&gt;

<PrivateKey>
  <Password ref="private.privatekey-password"/>
</PrivateKey>

W razie potrzeby podaj hasło, którego zasada ma używać do odszyfrowania klucza prywatnego. Użyj ref, aby przekazać klucz w zmiennej przepływu. Tylko używanie gdy algorytm to RS256/RS384/RS512, PS256/PS384/PS512 lub ES256/ES384/ES512.

Domyślnie Nie dotyczy
Obecność Opcjonalnie
Typ Ciąg znaków
Prawidłowe wartości Odwołanie do zmiennej przepływu.

Uwaga: musisz określić zmienną przepływu. Edge odrzuci jako nieprawidłową konfiguracji zasad, w której hasło jest określone w postaci zwykłego tekstu. Zmienna przepływu musi mieć prefiks „prywatny”. Na przykład: private.mypassword

&lt;PrivateKey/Value&gt;

<PrivateKey>
  <Value ref="private.variable-name-here"/>
</PrivateKey>

Określa klucz prywatny zakodowany w formacie PEM, który jest używany do podpisywania klucza JWS. Użyj atrybutu ref, aby przekazać w zmiennej przepływu. Używaj tylko wtedy, gdy algorytm to RS256/RS384/RS512, PS256/PS384/PS512 lub ES256/ES384/ES512.

Domyślnie Nie dotyczy
Obecność Wymagane do generowania kodu JWS przy użyciu algorytmu RS256.
Typ Ciąg znaków
Prawidłowe wartości Zmienna przepływu zawierająca ciąg znaków reprezentujący wartość klucza prywatnego RSA zakodowaną w formacie PEM.

Uwaga: zmienna przepływu musi mieć prefiks „prywatna”. Przykład: private.mykey

&lt;SecretKey/Id&gt;

<SecretKey>
  <Id ref="flow-variable-name-here"/>
</SecretKey>

or

<SecretKey>
  <Id>your-id-value-here</Id>
</SecretKey>

Określa identyfikator klucza (kid) do uwzględnienia w nagłówku JWS klucza JWS podpisanego za pomocą HMAC algorytmem bezpieczeństwa. Używaj tylko wtedy, gdy algorytm należy do kategorii HS256/HS384/HS512.

Domyślnie Nie dotyczy
Obecność Opcjonalnie
Typ Ciąg znaków
Prawidłowe wartości Zmienna lub ciąg znaków przepływu

&lt;SecretKey/Value&gt;

<SecretKey>
  <Value ref="private.your-variable-name"/>
</SecretKey>

Udostępnia tajny klucz używany do weryfikacji lub podpisywania tokenów za pomocą algorytmu HMAC. Tylko używanie gdy algorytm to HS256/HS384/HS512. Użyj atrybutu ref. aby przekazać klucz w zmiennej przepływu.

Edge wymusza minimalną siłę klucza w algorytmach HS256/HS384/HS512. Minimalna długość klucza W przypadku HS256 – 32 bajty, w przypadku HS384 – 48 bajtów, a w przypadku HS512 – 64 bajty. Użycie klucza o mniejszej mocy powoduje błąd środowiska wykonawczego.

Domyślnie Nie dotyczy
Obecność Wymagane w przypadku algorytmów HMAC.
Typ Ciąg znaków
Prawidłowe wartości Zmienna przepływu odnosząca się do ciągu znaków

Uwaga: zmienna przepływu musi mieć prefiks „private”. Dla: przykład: private.mysecret

Zmienne przepływu

Zasada Wygeneruj JWS nie ustawia zmiennych przepływu.

Informacje o błędzie

This section describes the fault codes and error messages that are returned and fault variables that are set by Edge when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.

Runtime errors

These errors can occur when the policy executes.

Fault code HTTP status Occurs when
steps.jws.GenerationFailed 401 The policy was unable to generate the JWS.
steps.jws.InsufficientKeyLength 401 For a key less than 32 bytes for the HS256 algorithm
steps.jws.InvalidClaim 401 For a missing claim or claim mismatch, or a missing header or header mismatch.
steps.jws.InvalidCurve 401 The curve specified by the key is not valid for the Elliptic Curve algorithm.
steps.jws.InvalidJsonFormat 401 Invalid JSON found in the JWS header.
steps.jws.InvalidPayload 401 The JWS payload is invalid.
steps.jws.InvalidSignature 401 <DetachedContent> is omitted and the JWS has a detached content payload.
steps.jws.KeyIdMissing 401 The Verify policy uses a JWKS as a source for public keys, but the signed JWS does not include a kid property in the header.
steps.jws.KeyParsingFailed 401 The public key could not be parsed from the given key information.
steps.jws.MissingPayload 401 The JWS payload is missing.
steps.jws.NoAlgorithmFoundInHeader 401 Occurs when the JWS omits the algorithm header.
steps.jws.SigningFailed 401 In GenerateJWS, for a key less than the minimum size for the HS384 or HS512 algorithms
steps.jws.UnknownException 401 An unknown exception occurred.
steps.jws.WrongKeyType 401 Wrong type of key specified. For example, if you specify an RSA key for an Elliptic Curve algorithm, or a curve key for an RSA algorithm.

Deployment errors

These errors can occur when you deploy a proxy containing this policy.

Error name Occurs when
InvalidAlgorithm The only valid values are: RS256, RS384, RS512, PS256, PS384, PS512, ES256, ES384, ES512, HS256, HS384, HS512.

EmptyElementForKeyConfiguration

FailedToResolveVariable

InvalidConfigurationForActionAndAlgorithmFamily

InvalidConfigurationForVerify

InvalidEmptyElement

InvalidFamiliesForAlgorithm

InvalidKeyConfiguration

InvalidNameForAdditionalClaim

InvalidNameForAdditionalHeader

InvalidPublicKeyId

InvalidPublicKeyValue

InvalidSecretInConfig

InvalidTypeForAdditionalClaim

InvalidTypeForAdditionalHeader

InvalidValueForElement

InvalidValueOfArrayAttribute

InvalidVariableNameForSecret

MissingConfigurationElement

MissingElementForKeyConfiguration

MissingNameForAdditionalClaim

MissingNameForAdditionalHeader

 Other possible deployment errors.

Zmienne błędów

Te zmienne są ustawiane po wystąpieniu błędu działania. Więcej informacji znajdziesz w artykule Podstawowe informacje o błędach związanych z naruszeniem zasad.

Zmienne Gdzie Przykład
fault.name="fault_name" fault_name to nazwa błędu podana w tabeli Błędy czasu działania powyżej. Nazwa błędu to ostatnia część kodu błędu. fault.name Matches "TokenExpired"
JWS.failed Wszystkie zasady JWS ustawiają tę samą zmienną w przypadku awarii. jws.JWS-Policy.failed = true

Przykładowa odpowiedź na błąd

W przypadku obsługi błędów sprawdzoną metodą jest przechwycenie części błędu errorcode. . Nie polegaj na tekście zawartym w pliku faultstring, ponieważ może się on zmienić.

Przykładowa reguła błędu

<FaultRules>
    <FaultRule name="JWS Policy Errors">
        <Step>
            <Name>JavaScript-1</Name>
            <Condition>(fault.name Matches "TokenExpired")</Condition>
        </Step>
        <Condition>JWS.failed=true</Condition>
    </FaultRule>
</FaultRules>