Kebijakan GenerateJWS

Anda sedang melihat dokumentasi Apigee Edge.
Buka Dokumentasi Apigee X. info

Apa

Menghasilkan JWS yang ditandatangani, dengan serangkaian klaim yang dapat dikonfigurasi. JWS kemudian dapat dikembalikan ke yang dikirim ke target backend, atau digunakan dengan cara lain. Lihat ringkasan kebijakan JWS dan JWT untuk pengantar mendetail.

Untuk mempelajari tentang bagian-bagian dari JWS dan bagaimana mereka dienkripsi dan ditandatangani, lihat RFC7515.

Video

Tonton video singkat untuk mempelajari cara menghasilkan JWT yang ditandatangani. Meskipun video ini khusus untuk menghasilkan JWT, banyak konsep yang sama untuk JWS.

Contoh

Buat JWS terlampir yang ditandatangani dengan HS256 algoritma

Contoh kebijakan ini menghasilkan JWS yang terpasang dan menandatanganinya menggunakan algoritma HS256. HS256 bergantung pada rahasia bersama, baik untuk menandatangani dan memverifikasi tanda tangan.

JWS yang dilampirkan berisi header, payload, dan tanda tangan yang dienkode:

header.payload.signature

Setel <DetachContent> ke benar (true) untuk membuat konten yang terpisah. Lihat Bagian dari JWS/JWT untuk informasi selengkapnya tentang struktur dan format JWS.

Gunakan elemen <Payload> untuk menentukan payload JWS mentah yang tidak dienkode. Dalam contoh ini, variabel berisi payload. Saat tindakan kebijakan ini dipicu, Edge mengenkode header dan payload JWS, lalu menambahkan tanda tangan yang dienkode untuk menandatangani JWS secara digital.

Konfigurasi kebijakan di bawah membuat JWS dari payload yang terdapat dalam variabel private.payload.

<GenerateJWS name="JWS-Generate-HS256">
    <DisplayName>JWS Generate HS256</DisplayName>
    <Algorithm>HS256</Algorithm>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <SecretKey>
        <Value ref="private.secretkey"/>
        <Id>1918290</Id>
    </SecretKey>
    <Payload ref="private.payload" />
    <OutputVariable>jws-variable</OutputVariable>
</GenerateJWS>

Membuat JWS terpisah yang ditandatangani dengan RS256 algoritma

Contoh kebijakan ini menghasilkan JWS yang terpisah dan menandatanganinya menggunakan algoritma RS256. Membuat Tanda tangan RS256 bergantung pada kunci pribadi RSA, yang harus diberikan dalam bentuk berenkode PEM.

JWS yang terpisah menghilangkan payload dari JWS:

header..signature

Gunakan elemen <Payload> untuk menentukan payload JWS mentah yang tidak dienkode. Saat kebijakan ini dipicu, Edge akan mengenkode header dan payload JWS, dan kemudian menggunakannya untuk menghasilkan tanda tangan yang dienkode. Namun, JWS yang dihasilkan menghilangkan payload. Anda dapat meneruskan payload ke kebijakan VerifyJWS menggunakan Elemen <DetachedContent> kebijakan VerifyJWS.

<GenerateJWS name="JWS-Generate-RS256">
    <DisplayName>JWS Generate RS256</DisplayName>
    <Algorithm>RS256</Algorithm>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <PrivateKey>
        <Value ref="private.privatekey"/>
        <Password ref="private.privatekey-password"/>
        <Id ref="private.privatekey-id"/>
    </PrivateKey>
    <Payload ref="private.payload" />
    <DetachContent>true</DetachContent>
    <OutputVariable>jws-variable</OutputVariable>
</GenerateJWS>

Menetapkan elemen kunci

Elemen yang Anda gunakan untuk menentukan kunci yang digunakan untuk membuat JWS tergantung pada algoritma yang dipilih, seperti yang ditunjukkan dalam tabel berikut:

Algoritma Elemen utama
HS{256/384/512}* 
<SecretKey>
  <Value ref="private.secretkey"/>
  <Id>1918290</Id>
</SecretKey>
RS/PS/ES{256/384/512}* 
<PrivateKey>
  <Value ref="private.privatekey"/>
  <Password ref="private.privatekey-password"/>
  <Id ref="private.privatekey-id"/>
</PrivateKey>

Elemen <Password> dan <Id> bersifat opsional.
*Untuk informasi selengkapnya tentang persyaratan utama, lihat Tentang algoritma enkripsi tanda tangan.

Referensi elemen untuk Membuat JWS

Referensi kebijakan menjelaskan elemen dan atribut kebijakan Buat JWS.

Catatan: Konfigurasi akan sedikit berbeda tergantung enkripsi algoritma yang digunakan. Lihat Contoh untuk mengetahui contoh yang menunjukkan khusus untuk kasus penggunaan tertentu.

Atribut yang diterapkan pada elemen tingkat atas

<GenerateJWS name="JWS" continueOnError="false" enabled="true" async="false">

Atribut berikut umum untuk semua elemen induk kebijakan.

Atribut Deskripsi Default Kehadiran
nama Nama internal kebijakan. Karakter yang dapat Anda gunakan dalam nama dibatasi untuk: A-Z0-9._\-$ %. Namun, UI pengelolaan Edge menerapkan seperti menghapus karakter yang bukan alfanumerik secara otomatis.

Secara opsional, gunakan elemen <displayname></displayname> untuk melabeli kebijakan di editor proxy UI pengelolaan dengan bahasa natural nama.

 T/A Wajib
continueOnError Tetapkan ke false untuk menampilkan error saat kebijakan gagal. Diharapkan untuk sebagian besar kebijakan.

Setel ke true agar eksekusi alur dapat dilanjutkan bahkan setelah kebijakan gagal.

 salah Opsional
diaktifkan Setel ke true untuk menerapkan kebijakan.

Setel ke false untuk "matikan" kebijakan tersebut. Kebijakan ini tidak akan diterapkan bahkan jika data itu tetap terlampir pada aliran.

 true Opsional
asinkron Atribut ini tidak digunakan lagi. salah Tidak digunakan lagi

&lt;DisplayName&gt;

<DisplayName>Policy Display Name</DisplayName>

Gunakan selain atribut nama untuk memberi label kebijakan di editor proxy UI pengelolaan dengan nama natural language yang berbeda.

Default Jika Anda menghapus elemen ini, nilai atribut nama kebijakan akan digunakan.
Kehadiran Opsional
Jenis String

&lt;Algorithm&gt;

<Algorithm>algorithm-here</Algorithm>

Menentukan algoritma enkripsi untuk menandatangani token.

Default T/A
Kehadiran Wajib
Jenis String
Nilai yang valid HS256, HS384, HS512, RS256, RS384, RS512, ES256, ES384, ES512, PS256, PS384, PS512

&lt;AdditionalHeaders/Claim&gt;

<AdditionalHeaders>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
    <Claim name='claim4' ref='variable-name' type='string' array='true'/>
 </AdditionalHeaders>

Menempatkan pasangan nama/nilai klaim tambahan di header untuk JWS.

Default T/A
Kehadiran Opsional
Nilai yang valid Nilai apa pun yang ingin Anda gunakan untuk klaim tambahan. Anda dapat menentukan klaim secara eksplisit sebagai string, angka, boolean, peta, atau array.

Elemen <Claim> menggunakan atribut berikut:

  • name - (Wajib) Nama klaim.
  • ref - (Opsional) Nama variabel flow. Jika ada, kebijakan akan menggunakan nilai variabel sebagai klaim. Jika atribut ref dan nilai klaim eksplisit ditentukan, elemen nilai eksplisit adalah default, dan digunakan jika variabel alur yang direferensikan tidak terselesaikan.
  • type - (Opsional) Salah satu dari: string (default), angka, boolean, atau peta
  • array - (Opsional) Tetapkan ke true untuk menunjukkan apakah nilai merupakan array jenis. Default: {i>false<i}.

&lt;CriticalHeaders&gt;

<CriticalHeaders>a,b,c</CriticalHeaders>

or:

<CriticalHeaders ref=variable_containing_headers/>

Menambahkan header penting, crit, ke JWS. Header crit adalah array nama {i>header<i} yang harus diketahui dan dikenali oleh penerima JWS. Contoh:

{
  “typ: “...”,
  “alg” : “...”,
  “crit” : [ “a”, “b”, “c” ],
}

Saat runtime, kebijakan VerifikasiJWS akan memeriksa header crit. Untuk setiap header yang tercantum dalam header crit, sistem akan memeriksa apakah elemen <KnownHeaders> kebijakan VerifyJWS juga mencantumkan header tersebut. Header apa pun yang ditemukan oleh kebijakan VerifyJWS di crit yang tidak tercantum dalam <KnownHeaders> menyebabkan kebijakan VerifyJWS gagal.

Default T/A
Kehadiran Opsional
Jenis Array string yang dipisahkan koma
Nilai yang valid Baik array maupun nama variabel yang berisi array.

&lt;DetachContent&gt;

<DetachContent>true|false</DetachContent>

Menentukan apakah akan membuat JWS dengan payload terpisah, <DetachContent>true</DetachContent>, atau tidak, <DetachContent>false</DetachContent>.

Jika Anda menentukan false, defaultnya, JWS yang dihasilkan akan dalam bentuk:

header.payload.signature

Jika Anda menetapkan true untuk membuat payload terpisah, JWS yang dihasilkan akan menghilangkan payload dan akan berformat:

header..signature

Dengan payload yang dilepas, Anda dapat meneruskan payload asli yang tidak dienkode ke kebijakan VerifikasiJWS menggunakan elemen <DetachedContent> dari kebijakan VerifyJWS.

Default salah
Kehadiran Opsional
Jenis Boolean
Nilai yang valid benar atau salah

&lt;IgnoreUnresolvedVariables&gt;

<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>

Tetapkan ke false jika Anda ingin kebijakan menampilkan error saat variabel yang direferensikan ditentukan dalam kebijakan itu tidak dapat diselesaikan. Tetapkan ke true untuk memperlakukan variabel yang tidak dapat diselesaikan sebagai string kosong (null).

Default salah
Kehadiran Opsional
Jenis Boolean
Nilai yang valid benar atau salah

&lt;OutputVariable&gt;

<OutputVariable>JWS-variable</OutputVariable>

Menentukan lokasi untuk menempatkan JWS yang dibuat oleh kebijakan ini. Secara default, file ini ditempatkan ke variabel alur jws.POLICYNAME.generated_jws.

Default jws.POLICYNAME.generated_jws
Kehadiran Opsional
Jenis String (nama variabel flow)

&lt;Payload&gt;

<Payload ref="flow-variable-name-here" />

or

<Payload>payload-value</Payload>

Menentukan payload JWS mentah yang tidak dienkode. Tentukan variabel yang berisi payload, atau string.

Default T/A
Kehadiran Wajib
Jenis String, array byte, streaming, atau representasi lain dari payload JWS yang tidak dienkode.

&lt;PrivateKey/Id&gt;

<PrivateKey>
  <Id ref="flow-variable-name-here"/>
</PrivateKey>

or

<PrivateKey>
  <Id>your-id-value-here</Id>
</PrivateKey>

Menentukan ID kunci (anak) yang akan disertakan dalam header JWS. Hanya gunakan jika algoritmenya adalah salah satu dari RS256/RS384/RS512, PS256/PS384/PS512, atau ES256/ES384/ES512.

Default T/A
Kehadiran Opsional
Jenis String
Nilai yang valid Variabel aliran atau {i>string<i}

&lt;PrivateKey/Password&gt;

<PrivateKey>
  <Password ref="private.privatekey-password"/>
</PrivateKey>

Tentukan sandi yang harus digunakan kebijakan untuk mendekripsi kunci pribadi, jika perlu. Gunakan ref untuk meneruskan kunci dalam variabel alur. Hanya gunakan jika algoritmenya adalah salah satu dari RS256/RS384/RS512, PS256/PS384/PS512, atau ES256/ES384/ES512.

Default T/A
Kehadiran Opsional
Jenis String
Nilai yang valid Referensi variabel flow.

Catatan: Anda harus menentukan variabel alur. Edge akan menolak karena tidak valid konfigurasi kebijakan di mana {i> password<i} ditentukan dalam teks polos. Variabel flow harus memiliki awalan "private". Misalnya, private.mypassword

&lt;PrivateKey/Value&gt;

<PrivateKey>
  <Value ref="private.variable-name-here"/>
</PrivateKey>

Menentukan kunci pribadi berenkode PEM yang digunakan untuk menandatangani JWS. Gunakan atribut ref untuk meneruskan di variabel flow. Gunakan hanya jika algoritmanya adalah salah satu dari RS256/RS384/RS512, PS256/PS384/PS512, atau ES256/ES384/ES512.

Default T/A
Kehadiran Diperlukan untuk membuat JWS menggunakan algoritma RS256.
Jenis String
Nilai yang valid Variabel flow yang berisi string yang mewakili nilai kunci pribadi RSA berenkode PEM.

Catatan: Variabel flow harus memiliki awalan "private". Contoh, private.mykey

&lt;SecretKey/Id&gt;

<SecretKey>
  <Id ref="flow-variable-name-here"/>
</SecretKey>

or

<SecretKey>
  <Id>your-id-value-here</Id>
</SecretKey>

Menentukan ID kunci (anak) yang akan disertakan dalam header JWS dari JWS yang ditandatangani dengan HMAC algoritme. Hanya gunakan jika algoritmanya adalah salah satu dari HS256/HS384/HS512.

Default T/A
Kehadiran Opsional
Jenis String
Nilai yang valid Variabel aliran atau {i>string<i}

&lt;SecretKey/Value&gt;

<SecretKey>
  <Value ref="private.your-variable-name"/>
</SecretKey>

Memberikan kunci rahasia yang digunakan untuk memverifikasi atau menandatangani token dengan algoritma HMAC. Hanya gunakan jika algoritmanya adalah salah satu dari HS256/HS384/HS512. Gunakan atribut ref untuk meneruskan kunci dalam variabel flow.

Edge menerapkan kekuatan kunci minimum untuk algoritma HS256/HS384/HS512. Panjang kunci minimum untuk HS256 adalah 32 byte, untuk HS384 adalah 48 byte, dan untuk HS512 adalah 64 byte. Menggunakan kunci dengan kekuatan yang lebih rendah akan menyebabkan error runtime.

Default T/A
Kehadiran Diperlukan untuk algoritma HMAC.
Jenis String
Nilai yang valid Variabel aliran yang mengacu ke {i>string<i}

Catatan: Jika variabel flow, variabel tersebut harus memiliki awalan "pribadi". Sebagai contoh, private.mysecret

Variabel flow

Kebijakan Buat JWS tidak menetapkan variabel alur.

Referensi error

This section describes the fault codes and error messages that are returned and fault variables that are set by Edge when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.

Runtime errors

These errors can occur when the policy executes.

Fault code HTTP status Occurs when
steps.jws.GenerationFailed 401 The policy was unable to generate the JWS.
steps.jws.InsufficientKeyLength 401 For a key less than 32 bytes for the HS256 algorithm
steps.jws.InvalidClaim 401 For a missing claim or claim mismatch, or a missing header or header mismatch.
steps.jws.InvalidCurve 401 The curve specified by the key is not valid for the Elliptic Curve algorithm.
steps.jws.InvalidJsonFormat 401 Invalid JSON found in the JWS header.
steps.jws.InvalidPayload 401 The JWS payload is invalid.
steps.jws.InvalidSignature 401 <DetachedContent> is omitted and the JWS has a detached content payload.
steps.jws.KeyIdMissing 401 The Verify policy uses a JWKS as a source for public keys, but the signed JWS does not include a kid property in the header.
steps.jws.KeyParsingFailed 401 The public key could not be parsed from the given key information.
steps.jws.MissingPayload 401 The JWS payload is missing.
steps.jws.NoAlgorithmFoundInHeader 401 Occurs when the JWS omits the algorithm header.
steps.jws.SigningFailed 401 In GenerateJWS, for a key less than the minimum size for the HS384 or HS512 algorithms
steps.jws.UnknownException 401 An unknown exception occurred.
steps.jws.WrongKeyType 401 Wrong type of key specified. For example, if you specify an RSA key for an Elliptic Curve algorithm, or a curve key for an RSA algorithm.

Deployment errors

These errors can occur when you deploy a proxy containing this policy.

Error name Occurs when
InvalidAlgorithm The only valid values are: RS256, RS384, RS512, PS256, PS384, PS512, ES256, ES384, ES512, HS256, HS384, HS512.

EmptyElementForKeyConfiguration

FailedToResolveVariable

InvalidConfigurationForActionAndAlgorithmFamily

InvalidConfigurationForVerify

InvalidEmptyElement

InvalidFamiliesForAlgorithm

InvalidKeyConfiguration

InvalidNameForAdditionalClaim

InvalidNameForAdditionalHeader

InvalidPublicKeyId

InvalidPublicKeyValue

InvalidSecretInConfig

InvalidTypeForAdditionalClaim

InvalidTypeForAdditionalHeader

InvalidValueForElement

InvalidValueOfArrayAttribute

InvalidVariableNameForSecret

MissingConfigurationElement

MissingElementForKeyConfiguration

MissingNameForAdditionalClaim

MissingNameForAdditionalHeader

 Other possible deployment errors.

Variabel kesalahan

Variabel ini ditetapkan saat terjadi error runtime. Untuk informasi selengkapnya, lihat Yang perlu Anda ketahui tentang error kebijakan.

Variabel Di mana Contoh
fault.name="fault_name" fault_name adalah nama kesalahan, seperti yang tercantum dalam tabel Error runtime di atas. Nama kesalahan adalah bagian terakhir dari kode kesalahan. fault.name Matches "TokenExpired"
JWS.failed Semua kebijakan JWS menetapkan variabel yang sama jika terjadi kegagalan. jws.JWS-Policy.failed = true

Contoh respons error

Untuk penanganan error, praktik terbaiknya adalah menangkap bagian errorcode dari error yang dihasilkan. Jangan mengandalkan teks di faultstring, karena dapat berubah.

Contoh aturan kesalahan

<FaultRules>
    <FaultRule name="JWS Policy Errors">
        <Step>
            <Name>JavaScript-1</Name>
            <Condition>(fault.name Matches "TokenExpired")</Condition>
        </Step>
        <Condition>JWS.failed=true</Condition>
    </FaultRule>
</FaultRules>