أنت تعرض مستندات Apigee Edge.
انتقل إلى
مستندات Apigee X. معلومات
المزايا
تنشئ JWS موقَّعة، مع مجموعة قابلة للضبط من المطالبات. ويمكن بعد ذلك إرجاع قيمة JWS إلى أو يتم نقلها إلى الأهداف الخلفية أو استخدامها بطرق أخرى. يمكنك الاطّلاع على نظرة عامة على سياسات JWS وJWT للحصول على مقدمة تفصيلية.
للتعرّف على أجزاء JWS وكيفية تشفيرها وتوقيعها، يمكنك الرجوع إلى RFC7515:
فيديو
يمكنك مشاهدة فيديو قصير لمعرفة كيفية إنشاء رمز JWT موقَّع. على الرغم من أن هذا الفيديو الخاصة بإنشاء JWT، فإن العديد من المفاهيم هي نفسها بالنسبة إلى JWS.
نماذج
- إنشاء JWS مرفقًا موقَّعًا باستخدام خوارزمية HS256
- إنشاء حساب JWS منفصل وموقَّع باستخدام خوارزمية RS256
إنشاء JWS مرفق موقَّعًا باستخدام HS256 الخوارزمية
تنشئ هذه السياسة نموذج JavaScript مرفقًا ويوقّعها باستخدام خوارزمية HS256. يعتمد HS256 على سر مشترك لكلٍ من التوقيع والتحقق من التوقيع.
يحتوي JWS على العنوان والحمولة والتوقيع المشفّرَين:
header.payload.signature
اضبط <DetachContent> على "صحيح" لإنشاء محتوى منفصل.
اطّلِع على أجزاء من JWS/JWT للتعرّف على مزيد من المعلومات حول
بنية JWS وتنسيقه.
يمكنك استخدام العنصر <Payload> لتحديد حمولة JWS الأولية وغير المرمّزة.
في هذا المثال، يحتوي المتغير على الحمولة. عند تنفيذ إجراء السياسة هذا
تعمل Edge على ترميز عنوان JWS والحمولة، ثم تضيف التوقيع المشفر لتوقيع JWS رقميًا.
تنشئ إعدادات السياسة أدناه JWS من حمولة بيانات مضمنة في المتغيّر.
private.payload
<GenerateJWS name="JWS-Generate-HS256">
<DisplayName>JWS Generate HS256</DisplayName>
<Algorithm>HS256</Algorithm>
<IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
<SecretKey>
<Value ref="private.secretkey"/>
<Id>1918290</Id>
</SecretKey>
<Payload ref="private.payload" />
<OutputVariable>jws-variable</OutputVariable>
</GenerateJWS>
إنشاء حساب JWS منفصل وموقَّع باستخدام RS256 الخوارزمية
تنشئ هذه السياسة نموذج JWS منفصلاً وتوقّعها باستخدام خوارزمية RS256. جارٍ إنشاء يعتمد توقيع RS256 على مفتاح خاص بترميز RSA، ويجب تقديمه بتنسيق PEM بترميز.
تحذف خدمات JWS المنفصلة الحمولة من JWS:
header..signature
يمكنك استخدام العنصر <Payload> لتحديد حمولة JWS الأولية وغير المرمّزة.
عند تفعيل هذه السياسة، تعمل شبكة Edge على ترميز عنوان JWS والحمولة
ثم يستخدمها لإنشاء التوقيع المشفر. ومع ذلك، تحذف خدمات JWS التي تم إنشاؤها الحمولة.
الأمر متروك لك لنقل الحمولة إلى سياسة VerifyJWS باستخدام
عنصر واحد (<DetachedContent>) في سياسة VerifyJWS
<GenerateJWS name="JWS-Generate-RS256">
<DisplayName>JWS Generate RS256</DisplayName>
<Algorithm>RS256</Algorithm>
<IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
<PrivateKey>
<Value ref="private.privatekey"/>
<Password ref="private.privatekey-password"/>
<Id ref="private.privatekey-id"/>
</PrivateKey>
<Payload ref="private.payload" />
<DetachContent>true</DetachContent>
<OutputVariable>jws-variable</OutputVariable>
</GenerateJWS>
تحديد العناصر الرئيسية
تعتمد العناصر التي تستخدمها لتحديد المفتاح المستخدم لإنشاء JWS على الخوارزمية التي تم اختيارها، كما هو موضح في الجدول التالي:
| خوارزمية | العناصر الرئيسية | |
|---|---|---|
| HS{256/384/512}* | <SecretKey> <Value ref="private.secretkey"/> <Id>1918290</Id> </SecretKey> |
|
| RS/PS/ES{256/384/512}* | <PrivateKey> <Value ref="private.privatekey"/> <Password ref="private.privatekey-password"/> <Id ref="private.privatekey-id"/> </PrivateKey> العنصران |
|
| *لمزيد من المعلومات حول المتطلبات الرئيسية، يُرجى الاطّلاع على لمحة عن خوارزميات تشفير التوقيع | ||
مرجع عنصر لإنشاء JWS
يصف مرجع السياسة عناصر سياسة إنشاء JWS وسماتها.
ملاحظة: ستختلف التهيئة إلى حد ما استنادًا إلى التشفير والخوارزمية التي تستخدمها. يُرجى الرجوع إلى عيّنات للاطّلاع على أمثلة الإعدادات لحالات استخدام معينة.
السمات التي تطبيقها على عنصر المستوى الأعلى
<GenerateJWS name="JWS" continueOnError="false" enabled="true" async="false">
السمات التالية مشتركة بين جميع العناصر الرئيسية للسياسة.
| السمة | الوصف | تلقائي | الحضور |
|---|---|---|---|
| الاسم |
الاسم الداخلي للسياسة. تقتصر الأحرف التي يمكنك استخدامها في الاسم على:
A-Z0-9._\-$ % ومع ذلك، تفرض واجهة مستخدم إدارة Edge المزيد
مثل الإزالة التلقائية للأحرف غير الأبجدية الرقمية.
يمكنك استخدام العنصر |
لا ينطبق | مطلوب |
| continueOnError |
اضبط القيمة على false لعرض رسالة خطأ عند تعذُّر تنفيذ سياسة. هذا متوقّع
السلوك في معظم السياسات.
يمكنك ضبط القيمة على |
خطأ | اختياري |
| مفعّلة |
اضبط القيمة على true لفرض السياسة.
ضبط على |
صحيح | اختياري |
| غير متزامن | تم إيقاف هذه السمة نهائيًا. | خطأ | منهي العمل به |
<DisplayName>
<DisplayName>Policy Display Name</DisplayName>
يمكن استخدامها بالإضافة إلى سمة الاسم لتصنيف السياسة في أداة تعديل الخادم الوكيل لواجهة مستخدم الإدارة باسم آخر بلغة طبيعية
| تلقائي | إذا لم تستخدم هذا العنصر، سيتم استخدام قيمة سمة اسم السياسة. |
| الحضور | اختياري |
| النوع | سلسلة |
<Algorithm>
<Algorithm>algorithm-here</Algorithm>
تُحدِّد خوارزمية التشفير لتوقيع الرمز المميّز.
| تلقائي | لا ينطبق |
| الحضور | مطلوب |
| النوع | سلسلة |
| القيم الصالحة | HS256 وHS384 وHS512 وRS256 وRS384 وRS512 وES256 وES384 وES512 وPS256 وPS384 وPS512 |
<AdditionalHeaders/Claim>
<AdditionalHeaders>
<Claim name='claim1'>explicit-value-of-claim-here</Claim>
<Claim name='claim2' ref='variable-name-here'/>
<Claim name='claim3' ref='variable-name-here' type='boolean'/>
<Claim name='claim4' ref='variable-name' type='string' array='true'/>
</AdditionalHeaders>
لوضع اسم/قيم المطالبة الإضافية في رأس JWS
| تلقائي | لا ينطبق |
| الحضور | اختياري |
| القيم الصالحة | تمثّل هذه السمة أي قيمة تريد استخدامها في مطالبة إضافية. يمكنك تحديد المطالبة بشكل صريح كسلسلة أو رقم أو قيمة منطقية أو خريطة أو مصفوفة. |
يأخذ العنصر <Claim> السمات التالية:
- name - (مطلوبة) اسم المطالبة.
- ref - (اختيارية) اسم متغيّر التدفق. وفي حال توفّرها، ستستخدم السياسة القيمة التالية: المتغير مثل المطالبة. في حال تحديد كل من السمة ref وقيمة المطالبة الصريحة، سيتم وتكون القيمة الصريحة هي القيمة الافتراضية، ويتم استخدامها إذا لم يتم حل متغير التدفق المشار إليه.
- type - (اختيارية) أحد الخيارات التالية: سلسلة (تلقائي) أو رقم أو قيمة منطقية أو خريطة
- مصفوفة - (اختيارية) يتم ضبطها على صحيح للإشارة إلى ما إذا كانت القيمة مصفوفة من الأنواع. الإعداد التلقائي: خطأ.
<CriticalHeaders>
<CriticalHeaders>a,b,c</CriticalHeaders> or: <CriticalHeaders ref=’variable_containing_headers’/>
إضافة العنوان المهم، crit، إلى JWS الرأس crit عبارة عن مصفوفة من أسماء رؤوس الأعمدة التي يجب أن يعرفها ويتعرف عليها مستلم JWS. على سبيل المثال:
{
“typ: “...”,
“alg” : “...”,
“crit” : [ “a”, “b”, “c” ],
}
في وقت التشغيل، تتحقّق سياسة VerifyJWS من عنوان crit.
بالنسبة إلى كل عنوان مدرج في عنوان crit، يتم التحقّق من أنّ العنصر <KnownHeaders>.
في سياسة VerifyJWS، إدراج هذا العنوان أيضًا أي عنوان تعثر عليه سياسة VerifyJWS في crit
ولم يتم إدراجها أيضًا في <KnownHeaders>، سيؤدي ذلك إلى تعذُّر استخدام سياسة VerifyJWS.
| تلقائي | لا ينطبق |
| الحضور | اختياري |
| النوع | مصفوفة السلاسل المفصولة بفواصل |
| القيم الصالحة | إمّا مصفوفة أو اسم متغير يحتوي على المصفوفة. |
<DetachContent>
<DetachContent>true|false</DetachContent>
تحدِّد هذه السياسة ما إذا كان سيتم إنشاء JWS باستخدام حمولة منفصلة، <DetachContent>true</DetachContent>.
أو لا، <DetachContent>false</DetachContent>.
في حال التحديد على "خطأ"، سيكون الإعداد التلقائي هو JWS الذي تم إنشاؤه على النحو التالي:
header.payload.signature
في حال تحديد "صحيح" لإنشاء حمولة منفصلة، يحذف JWS الذي تم إنشاؤه الحمولة، ويكون على النحو التالي:
header..signature
عند وجود حمولة منفصلة، متروك لك لتمرير الحمولة الأصلية غير المشفرة إلى سياسة تحققJWS
باستخدام العنصر <DetachedContent> في سياسة VerifyJWS
| تلقائي | خطأ |
| الحضور | اختياري |
| النوع | منطقي |
| القيم الصالحة | صواب أم خطأ |
<IgnoreUnresolvedVariables>
<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>
يمكنك الضبط على "خطأ" إذا كنت تريد أن تعرض السياسة خطأً عند تحديد أي متغيّر مرجعي. في السياسة غير قابل للحل. الضبط على "صحيح" للتعامل مع أي متغيّر غير قابل للتحليل كسلسلة فارغة (فارغ).
| تلقائي | خطأ |
| الحضور | اختياري |
| النوع | منطقي |
| القيم الصالحة | صواب أم خطأ |
<OutputVariable>
<OutputVariable>JWS-variable</OutputVariable>
تحدِّد هذه السياسة مكان وضع خدمات JWS التي تم إنشاؤها من خلال هذه السياسة. يتم وضعه تلقائيًا في
متغير التدفق jws.POLICYNAME.generated_jws.
| تلقائي | jws.POLICYNAME.generated_jws |
| الحضور | اختياري |
| النوع | سلسلة (اسم متغيّر التدفق) |
<Payload>
<Payload ref="flow-variable-name-here" /> or <Payload>payload-value</Payload>
تحدِّد هذه السياسة حمولة JWS الأولية وغير المشفَّرة. حدِّد متغيّرًا يحتوي على الحمولة أو سلسلة.
| تلقائي | لا ينطبق |
| الحضور | مطلوب |
| النوع | سلسلة أو مصفوفة بايت أو مصدر بيانات أو أي تمثيل آخر لحمولة JWS غير المشفَّرة |
<PrivateKey/Id>
<PrivateKey> <Id ref="flow-variable-name-here"/> </PrivateKey> or <PrivateKey> <Id>your-id-value-here</Id> </PrivateKey>
تُستخدَم لتحديد معرّف المفتاح (kid) المطلوب تضمينه في عنوان JWS. الاستخدام فقط إذا كانت الخوارزمية هي RS256/RS384/RS512 أو PS256/PS384/PS512 أو ES256/ES384/ES512.
| تلقائي | لا ينطبق |
| الحضور | اختياري |
| النوع | سلسلة |
| القيم الصالحة | متغير تدفق أو سلسلة |
<PrivateKey/Password>
<PrivateKey> <Password ref="private.privatekey-password"/> </PrivateKey>
حدِّد كلمة المرور التي يجب أن تستخدمها السياسة لفك تشفير المفتاح الخاص، إذا لزم الأمر. يمكنك استخدام ref لتمرير المفتاح في متغير التدفق. الاستخدام فقط إذا كانت الخوارزمية هي RS256/RS384/RS512 أو PS256/PS384/PS512 أو ES256/ES384/ES512.
| تلقائي | لا ينطبق |
| الحضور | اختياري |
| النوع | سلسلة |
| القيم الصالحة |
يشير إلى مرجع متغيّر التدفق.
ملاحظة: يجب تحديد متغيّر تدفق. سيتم رفض Edge على أنّه غير صالح
تهيئة السياسة التي يتم فيها تحديد كلمة المرور في نص عادي. متغيّر التدفق
يجب أن يحتوي على البادئة "private". على سبيل المثال: |
<PrivateKey/Value>
<PrivateKey> <Value ref="private.variable-name-here"/> </PrivateKey>
تحدّد هذه السياسة مفتاحًا خاصًا بترميز PEM يُستخدم لتوقيع JWS. استخدم سمة ref لتمرير في متغير التدفق. للاستخدام فقط عندما تكون الخوارزمية هي RS256/RS384/RS512، PS256/PS384/PS512 أو ES256/ES384/ES512.
| تلقائي | لا ينطبق |
| الحضور | مطلوب لإنشاء JWS باستخدام خوارزمية RS256. |
| النوع | سلسلة |
| القيم الصالحة |
متغيّر تدفق يحتوي على سلسلة تمثّل قيمة مفتاح خاص بترميز RSA بترميز PEM.
ملاحظة: يجب أن يتضمّن متغيّر التدفق البادئة "private". على سبيل المثال:
|
<SecretKey/Id>
<SecretKey> <Id ref="flow-variable-name-here"/> </SecretKey> or <SecretKey> <Id>your-id-value-here</Id> </SecretKey>
تحدّد هذه السياسة معرّف المفتاح (kid) المطلوب تضمينه في عنوان JWS الخاص بخدمة JWS الموقَّعة باستخدام بروتوكول HMAC. للخوارزمية. للاستخدام فقط إذا كانت الخوارزمية هي واحدة من HS256/HS384/HS512.
| تلقائي | لا ينطبق |
| الحضور | اختياري |
| النوع | سلسلة |
| القيم الصالحة | متغير تدفق أو سلسلة |
<SecretKey/Value>
<SecretKey> <Value ref="private.your-variable-name"/> </SecretKey>
يوفر المفتاح السري المستخدم للتحقق من الرموز المميزة أو توقيعها باستخدام خوارزمية HMAC. الاستخدام فقط إذا كانت الخوارزمية ضمن HS256/HS384/HS512. استخدام السمة ref لتمرير المفتاح في متغير التدفق.
تفرض Edge حدًا أدنى لقوة المفتاح لخوارزميات HS256/HS384/HS512. الحد الأدنى لطول المفتاح يبلغ الحد الأقصى لحجم الملف في بروتوكول HS256 32 بايت، أمّا بالنسبة إلى HS384، فيبلغ 48 بايت، أمّا بالنسبة إلى HS512، فيبلغ 64 بايت. يؤدي استخدام مفتاح بقوة أقل إلى حدوث خطأ في بيئة التشغيل.
| تلقائي | لا ينطبق |
| الحضور | مطلوب لخوارزميات HMAC. |
| النوع | سلسلة |
| القيم الصالحة |
يشير هذا المصطلح إلى متغيّر تدفق يشير إلى سلسلة.
ملاحظة: في حال كان متغيّر التدفق، يجب أن يتضمّن البادئة "خاص". بالنسبة
مثال: |
متغيّرات التدفق
لا تضبط سياسة إنشاء JWS متغيّرات التدفق.
مرجع الخطأ
يصف هذا القسم رموز الأخطاء ورسائل الخطأ التي يتم عرضها ومتغيرات الأخطاء التي تضبطها Edge عندما تؤدي هذه السياسة إلى ظهور خطأ. هذه المعلومات مهمة لمعرفة ما إذا كنت تعمل على تطوير قواعد خطأ للتعامل مع الأخطاء. لمزيد من المعلومات، يمكنك الاطّلاع على المعلومات التي يجب معرفتها عن أخطاء السياسة وأخطاء المعالجة.
أخطاء في وقت التشغيل
يمكن أن تحدث هذه الأخطاء عند تنفيذ السياسة.
| رمز الخطأ | رموز حالة HTTP | يحدث عند |
|---|---|---|
steps.jws.GenerationFailed |
401 | تعذَّر على السياسة إنشاء JWS. |
steps.jws.InsufficientKeyLength |
401 | بالنسبة إلى مفتاح أقل من 32 بايت لخوارزمية HS256 |
steps.jws.InvalidClaim |
401 | بسبب عدم تطابق مطالبة أو مطالبة، أو عدم تطابق العنوان أو العنوان. |
steps.jws.InvalidCurve |
401 | المنحنى المحدد بالمفتاح غير صالح لخوارزمية المنحنى البيضاوي. |
steps.jws.InvalidJsonFormat |
401 | تم العثور على تنسيق JSON غير صالح في عنوان JWS. |
steps.jws.InvalidPayload |
401 | حمولة JWS غير صالحة. |
steps.jws.InvalidSignature |
401 | تم حذف <DetachedContent> ولديها حمولة بيانات منفصلة في JWS. |
steps.jws.KeyIdMissing |
401 | تستخدم سياسة "التحقّق" رمز JWKS كمصدر للمفاتيح العامة، إلا أنّ سياسة JWS الموقَّعة لا
تتضمّن السمة kid في العنوان. |
steps.jws.KeyParsingFailed |
401 | تعذّر تحليل المفتاح العام من المعلومات الأساسية المحددة. |
steps.jws.MissingPayload |
401 | حمولة JWS مفقودة. |
steps.jws.NoAlgorithmFoundInHeader |
401 | يحدث عندما تغفل JWS عنوان الخوارزمية. |
steps.jws.SigningFailed |
401 | في CREATEJWS لمفتاح أقل من الحد الأدنى للحجم لخوارزميات HS384 أو HS512 |
steps.jws.UnknownException |
401 | حدث استثناء غير معروف. |
steps.jws.WrongKeyType |
401 | تم تحديد نوع خاطئ للمفتاح. على سبيل المثال، إذا حدّدت مفتاح RSA لخوارزمية "منحنى بيضاوي" أو مفتاح منحنى لخوارزمية RSA. |
أخطاء النشر
يمكن أن تحدث هذه الأخطاء عند نشر خادم وكيل يحتوي على هذه السياسة.
| اسم الخطأ | يحدث عند |
|---|---|
InvalidAlgorithm |
القيم الصالحة الوحيدة هي: RS256 وRS384 وRS512 وPS256 وPS384 وPS512 وES256 وES384 وES512 وHS256 وHS384 وHS512. |
|
|
أخطاء النشر المحتملة الأخرى |
متغيّرات الأخطاء
يتم ضبط هذه المتغيّرات عند حدوث خطأ في بيئة التشغيل. يمكنك الاطّلاع على مقالة ما تحتاج إلى معرفته للحصول على مزيد من المعلومات. حول أخطاء السياسة.
| المتغيرات | المكان | مثال |
|---|---|---|
fault.name="fault_name" |
fault_name هو اسم الخطأ، كما هو موضَّح في جدول أخطاء وقت التشغيل أعلاه. اسم الخطأ هو الجزء الأخير من رمز الخطأ. | fault.name Matches "TokenExpired" |
JWS.failed |
تضبط جميع سياسات JWS المتغيّر نفسه في حال حدوث عطل. | jws.JWS-Policy.failed = true |
مثال على استجابة الخطأ
لمعالجة الخطأ، أفضل ممارسة هي رصد الجزء errorcode من الخطأ
الاستجابة. لا تعتمد على النص في faultstring، لأنه قد يتغير.
مثال على قاعدة الخطأ
<FaultRules>
<FaultRule name="JWS Policy Errors">
<Step>
<Name>JavaScript-1</Name>
<Condition>(fault.name Matches "TokenExpired")</Condition>
</Step>
<Condition>JWS.failed=true</Condition>
</FaultRule>
</FaultRules>