Anda sedang melihat dokumentasi Apigee Edge.
Lihat dokumentasi Apigee X.

Apa
Menghasilkan JWS yang ditandatangani, dengan kumpulan klaim yang dapat dikonfigurasi. JWS kemudian dapat ditampilkan ke klien, ditransmisikan ke target backend, atau digunakan dengan cara lain. Lihat Ringkasan kebijakan JWS dan JWT untuk pengantar mendetail.
Untuk mempelajari bagian-bagian JWS dan cara enkripsi serta penandatanganannya, lihat RFC7515.
Video
Tonton video singkat untuk mempelajari cara membuat JWT yang ditandatangani. Meskipun video ini khusus untuk membuat JWT, banyak konsepnya sama untuk JWS.
Sample
- Membuat JWS terlampir yang ditandatangani dengan algoritme HS256
- Membuat JWS terpisah yang ditandatangani dengan algoritme RS256
Membuat JWS terlampir yang ditandatangani dengan algoritme HS256
Kebijakan contoh ini menghasilkan JWS terlampir dan menandatanganinya menggunakan algoritme HS256. HS256 mengandalkan rahasia bersama untuk menandatangani dan memverifikasi tanda tangan.
JWS terlampir berisi header, payload, dan tanda tangan yang dienkode:
header.payload.signature
Menetapkan <DetachContent>
ke true untuk menghasilkan konten yang dilepas.
Lihat Bagian dari JWS/JWT untuk informasi selengkapnya tentang struktur dan format JWS.
Gunakan elemen <Payload>
untuk menentukan payload JWS mentah yang tidak dienkode.
Dalam contoh ini, variabel berisi payload. Saat tindakan kebijakan ini dipicu,
Edge akan mengenkode header dan payload JWS, lalu menambahkan tanda tangan yang dienkode untuk menandatangani JWS secara digital.
Konfigurasi kebijakan di bawah membuat JWS dari payload yang terdapat dalam variabel private.payload
.
<GenerateJWS name="JWS-Generate-HS256"> <DisplayName>JWS Generate HS256</DisplayName> <Algorithm>HS256</Algorithm> <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables> <SecretKey> <Value ref="private.secretkey"/> <Id>1918290</Id> </SecretKey> <Payload ref="private.payload" /> <OutputVariable>jws-variable</OutputVariable> </GenerateJWS>
Membuat JWS terpisah yang ditandatangani dengan algoritme RS256
Contoh kebijakan ini menghasilkan JWS yang terpisah dan menandatanganinya menggunakan algoritme RS256. Pembuatan tanda tangan RS256 bergantung pada kunci pribadi RSA, yang harus diberikan dalam bentuk yang dienkode dengan PEM.
JWS yang terpisah menghilangkan payload dari JWS:
header..signature
Gunakan elemen <Payload>
untuk menentukan payload JWS mentah yang tidak dienkode.
Saat kebijakan ini dipicu, Edge mengenkode header dan payload JWS, lalu menggunakannya untuk membuat tanda tangan yang dienkode. Namun, JWS yang dihasilkan menghilangkan payload.
Anda dapat meneruskan payload ke kebijakan VerifyJWS dengan menggunakan elemen <DetachedContent>
dari kebijakan VerifyJWS.
<GenerateJWS name="JWS-Generate-RS256"> <DisplayName>JWS Generate RS256</DisplayName> <Algorithm>RS256</Algorithm> <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables> <PrivateKey> <Value ref="private.privatekey"/> <Password ref="private.privatekey-password"/> <Id ref="private.privatekey-id"/> </PrivateKey> <Payload ref="private.payload" /> <DetachContent>true</DetachContent> <OutputVariable>jws-variable</OutputVariable> </GenerateJWS>
Menetapkan elemen utama
Elemen yang Anda gunakan untuk menentukan kunci yang digunakan untuk membuat JWS bergantung pada algoritme yang dipilih, seperti yang ditunjukkan pada tabel berikut:
Algorithm | Elemen utama | |
---|---|---|
HS{256/384/512}* | <SecretKey> <Value ref="private.secretkey"/> <Id>1918290</Id> </SecretKey> |
|
RS/PS/ES{256/384/512}* | <PrivateKey> <Value ref="private.privatekey"/> <Password ref="private.privatekey-password"/> <Id ref="private.privatekey-id"/> </PrivateKey> Elemen |
|
*Untuk mengetahui persyaratan utama selengkapnya, lihat Tentang algoritme enkripsi tanda tangan. |
Referensi elemen untuk Generate JWS
Referensi kebijakan menjelaskan elemen dan atribut kebijakan Generate JWS.
Catatan: Konfigurasi akan sedikit berbeda bergantung pada algoritme enkripsi yang Anda gunakan. Lihat Contoh untuk contoh yang menunjukkan konfigurasi untuk kasus penggunaan tertentu.
Atribut yang berlaku untuk elemen tingkat atas
<GenerateJWS name="JWS" continueOnError="false" enabled="true" async="false">
Atribut berikut sama untuk semua elemen induk kebijakan.
Atribut | Deskripsi | Default | Kehadiran |
---|---|---|---|
nama |
Nama internal kebijakan. Karakter yang dapat Anda gunakan dalam nama dibatasi untuk:
A-Z0-9._\-$ % . Namun, UI pengelolaan Edge menerapkan batasan
tambahan, seperti menghapus karakter yang bukan alfanumerik secara otomatis.
Secara opsional, gunakan elemen |
T/A | Wajib diisi |
ContinueOnError |
Tetapkan ke false untuk menampilkan error saat kebijakan gagal. Hal ini wajar untuk sebagian besar kebijakan.
Tetapkan ke |
false | Opsional |
diaktifkan |
Tetapkan ke true untuk menerapkan kebijakan.
Tetapkan ke |
true | Opsional |
asinkron | Atribut ini tidak digunakan lagi. | false | Tidak digunakan lagi |
<NamaTampilan>
<DisplayName>Policy Display Name</DisplayName>
Selain atribut nama untuk memberi label pada kebijakan di editor proxy UI pengelolaan dengan nama natural language yang berbeda.
Default | Jika Anda menghilangkan elemen ini, nilai atribut nama kebijakan akan digunakan. |
Kehadiran | Opsional |
Jenis | String |
<Algoritme>
<Algorithm>algorithm-here</Algorithm>
Menentukan algoritme enkripsi untuk menandatangani token.
Default | T/A |
Kehadiran | Wajib diisi |
Jenis | String |
Nilai yang valid | HS256, HS384, HS512, RS256, RS384, RS512, ES256, ES384, ES512, PS256, PS384, PS512 |
<AdditionalHeader/Klaim>
<AdditionalHeaders> <Claim name='claim1'>explicit-value-of-claim-here</Claim> <Claim name='claim2' ref='variable-name-here'/> <Claim name='claim3' ref='variable-name-here' type='boolean'/> <Claim name='claim4' ref='variable-name' type='string' array='true'/> </AdditionalHeaders>
Memasangkan nama/nilai klaim tambahan dalam header untuk JWS.
Default | T/A |
Kehadiran | Opsional |
Nilai yang valid | Nilai apa pun yang ingin Anda gunakan untuk klaim tambahan. Anda dapat menetapkan klaim secara eksplisit sebagai string, angka, boolean, peta, atau array. |
Elemen <Claim>
menggunakan atribut berikut:
- name - (Wajib) Nama klaim.
- ref - (Opsional) Nama variabel alur. Jika ada, kebijakan akan menggunakan nilai variabel ini sebagai klaim. Jika atribut ref dan nilai klaim eksplisit ditentukan, nilai eksplisitnya akan menjadi default, dan digunakan jika variabel alur yang direferensikan belum diselesaikan.
- type - (Opsional) Salah satu dari: string (default), angka, boolean, atau peta
- array - (Opsional) Tetapkan ke true untuk menunjukkan apakah nilainya adalah array jenis. Default: false (salah).
<PentingHeader>
<CriticalHeaders>a,b,c</CriticalHeaders> or: <CriticalHeaders ref=’variable_containing_headers’/>
Menambahkan header penting, crit, ke JWS. Header crit adalah array nama header yang harus diketahui dan dikenali oleh penerima JWS. Contoh:
{ “typ: “...”, “alg” : “...”, “crit” : [ “a”, “b”, “c” ], }
Saat runtime, kebijakan VerifyJWS akan memeriksa header crit.
Untuk setiap header yang tercantum di header crit, header tersebut akan memeriksa apakah elemen <KnownHeaders>
dari kebijakan VerifyJWS juga mencantumkan header tersebut. Header apa pun yang ditemukan oleh kebijakan VerifyJWS di kriteria
yang tidak tercantum dalam <KnownHeaders>
akan menyebabkan kebijakan VerifyJWS gagal.
Default | T/A |
Kehadiran | Opsional |
Jenis | Array string yang dipisahkan koma |
Nilai yang valid | Array atau nama variabel yang berisi array. |
<DetachContent>
<DetachContent>true|false</DetachContent>
Menentukan apakah JWS akan dibuat dengan payload terpisah, <DetachContent>true</DetachContent>
, atau tidak, <DetachContent>false</DetachContent>
.
Jika Anda menentukan false (salah), defaultnya, JWS yang dihasilkan akan berbentuk:
header.payload.signature
Jika Anda menentukan true untuk membuat payload terpisah, JWS yang dihasilkan akan menghilangkan payload dan berformat:
header..signature
Dengan payload yang dilepas, Anda dapat meneruskan payload asli yang tidak dienkode ke kebijakan VerifyJWS
dengan menggunakan elemen <DetachedContent>
dari kebijakan VerifyJWS.
Default | false |
Kehadiran | Opsional |
Jenis | Boolean |
Nilai yang valid | benar atau salah |
<AbaikanUnresolvedVariables>
<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>
Tetapkan ke false jika Anda ingin kebijakan ini menampilkan error saat variabel yang direferensikan yang ditentukan dalam kebijakan tidak dapat diselesaikan. Tetapkan ke true untuk memperlakukan variabel yang tidak dapat diselesaikan sebagai string kosong (null).
Default | false |
Kehadiran | Opsional |
Jenis | Boolean |
Nilai yang valid | benar atau salah |
<VariabelOutput>
<OutputVariable>JWS-variable</OutputVariable>
Menentukan lokasi JWS yang dihasilkan oleh kebijakan ini. Secara default, variabel ini ditempatkan ke dalam
variabel flow jws.POLICYNAME.generated_jws
.
Default | jws.POLICYNAME.generated_jws |
Kehadiran | Opsional |
Jenis | String (nama variabel flow) |
<Payload>
<Payload ref="flow-variable-name-here" /> or <Payload>payload-value</Payload>
Menentukan payload JWS mentah yang tidak dienkode. Tentukan variabel yang berisi payload, atau string.
Default | T/A |
Kehadiran | Wajib diisi |
Jenis | String, array byte, stream, atau representasi lain dari payload JWS yang tidak dienkode. |
<PrivateKey/Id>
<PrivateKey> <Id ref="flow-variable-name-here"/> </PrivateKey> or <PrivateKey> <Id>your-id-value-here</Id> </PrivateKey>
Menentukan ID kunci (anak) yang akan disertakan di header JWS. Gunakan hanya jika algoritme-nya adalah salah satu dari RS256/RS384/RS512, PS256/PS384/PS512, atau ES256/ES384/ES512.
Default | T/A |
Kehadiran | Opsional |
Jenis | String |
Nilai yang valid | Variabel atau string alur |
<PrivateKey/Sandi>
<PrivateKey> <Password ref="private.privatekey-password"/> </PrivateKey>
Tentukan sandi yang harus digunakan oleh kebijakan untuk mendekripsi kunci pribadi, jika diperlukan. Gunakan atribut ref untuk meneruskan kunci dalam variabel flow. Gunakan hanya jika algoritme-nya adalah salah satu dari RS256/RS384/RS512, PS256/PS384/PS512, atau ES256/ES384/ES512.
Default | T/A |
Kehadiran | Opsional |
Jenis | String |
Nilai yang valid |
Referensi variabel flow.
Catatan: Anda harus menentukan variabel alur. Edge akan menolak konfigurasi kebijakan yang tidak valid
saat sandi ditentukan dalam teks biasa. Variabel flow
harus memiliki awalan "private". Misalnya, |
<PrivateKey/Nilai>
<PrivateKey> <Value ref="private.variable-name-here"/> </PrivateKey>
Menentukan kunci pribadi berenkode PEM yang digunakan untuk menandatangani JWS. Gunakan atribut ref untuk meneruskan kunci dalam variabel flow. Hanya gunakan saat algoritme adalah salah satu dari RS256/RS384/RS512, PS256/PS384/PS512, atau ES256/ES384/ES512.
Default | T/A |
Kehadiran | Diperlukan untuk menghasilkan JWS menggunakan algoritme RS256. |
Jenis | String |
Nilai yang valid |
Variabel flow berisi string yang merepresentasikan nilai kunci pribadi RSA berenkode PEM.
Catatan: Variabel flow harus memiliki awalan "private". Contoh,
|
<SecretKey/Id>
<SecretKey> <Id ref="flow-variable-name-here"/> </SecretKey> or <SecretKey> <Id>your-id-value-here</Id> </SecretKey>
Menentukan ID kunci (anak) yang akan disertakan dalam header JWS dari JWS yang ditandatangani dengan algoritme HMAC. Gunakan hanya jika algoritme-nya adalah salah satu dari HS256/HS384/HS512.
Default | T/A |
Kehadiran | Opsional |
Jenis | String |
Nilai yang valid | Variabel atau string alur |
<Kunci/Kunci Rahasia>
<SecretKey> <Value ref="private.your-variable-name"/> </SecretKey>
Menyediakan kunci rahasia yang digunakan untuk memverifikasi atau menandatangani token dengan algoritme HMAC. Gunakan hanya jika algoritme-nya adalah salah satu dari HS256/HS384/HS512. Gunakan atribut ref untuk meneruskan kunci dalam variabel flow.
Edge menerapkan kekuatan kunci minimum untuk algoritme HS256/HS384/HS512. Panjang kunci minimum untuk HS256 adalah 32 byte, untuk HS384 adalah 48 byte, dan untuk HS512 adalah 64 byte. Penggunaan kunci dengan kekuatan yang lebih rendah akan menyebabkan error runtime.
Default | T/A |
Kehadiran | Diperlukan untuk algoritme HMAC. |
Jenis | String |
Nilai yang valid |
Variabel flow yang merujuk ke string
Catatan: Jika variabel flow, variabel tersebut harus memiliki awalan "pribadi". Misalnya, |
Variabel flow
Kebijakan Generate JWS tidak menetapkan variabel flow.
Referensi error
Bagian ini menjelaskan kode kesalahan dan pesan error yang dikembalikan, serta variabel kesalahan yang disetel oleh Edge saat kebijakan ini memicu error. Informasi ini penting untuk diketahui jika Anda mengembangkan aturan fault untuk menangani fault. Untuk mempelajari lebih lanjut, lihat Yang perlu Anda ketahui tentang error kebijakan dan Penanganan kesalahan.
Error runtime
Error ini dapat terjadi saat kebijakan dijalankan.
Kode kesalahan | Status HTTP | Terjadi saat |
---|---|---|
steps.jws.GenerationFailed |
401 | Kebijakan tidak dapat menghasilkan JWS. |
steps.jws.InsufficientKeyLength |
401 | Untuk kunci kurang dari 32 byte untuk algoritme HS256 |
steps.jws.InvalidClaim |
401 | Untuk klaim yang tidak ada atau ketidakcocokan klaim, atau header atau ketidakcocokan header yang hilang. |
steps.jws.InvalidCurve |
401 | Kurva yang ditentukan oleh kunci tidak valid untuk algoritme Kurva Elliptik. |
steps.jws.InvalidJsonFormat |
401 | JSON tidak valid ditemukan di header JWS. |
steps.jws.InvalidPayload |
401 | Payload JWS tidak valid. |
steps.jws.InvalidSignature |
401 | <DetachedContent> dihilangkan dan JWS memiliki payload konten yang dilepas. |
steps.jws.KeyIdMissing |
401 | Kebijakan Verifikasi menggunakan JWKS sebagai sumber untuk kunci publik, tetapi JWS yang ditandatangani tidak
menyertakan properti kid di header. |
steps.jws.KeyParsingFailed |
401 | Kunci publik tidak dapat diuraikan dari informasi kunci yang diberikan. |
steps.jws.MissingPayload |
401 | Payload JWS tidak ada. |
steps.jws.NoAlgorithmFoundInHeader |
401 | Terjadi saat JWS menghilangkan header algoritme. |
steps.jws.SigningFailed |
401 | Di GenerateJWS, untuk kunci yang kurang dari ukuran minimum untuk algoritme HS384 atau HS512 |
steps.jws.UnknownException |
401 | Terjadi pengecualian yang tidak dikenal. |
steps.jws.WrongKeyType |
401 | Jenis kunci yang ditentukan salah. Misalnya, jika Anda menentukan kunci RSA untuk algoritme Elliptic Curve, atau kunci kurva untuk algoritme RSA. |
Error deployment
Error ini dapat terjadi saat Anda men-deploy proxy yang berisi kebijakan ini.
Nama error | Terjadi saat |
---|---|
InvalidAlgorithm |
Satu-satunya nilai yang valid adalah: RS256, RS384, RS512, PS256, PS384, PS512, ES256, ES384, ES512, HS256, HS384, HS512. |
|
Kemungkinan error deployment lainnya. |
Variabel kesalahan
Variabel ini ditetapkan saat terjadi error runtime. Untuk informasi selengkapnya, lihat Yang perlu Anda ketahui tentang error kebijakan.
Variabel | Lokasi | Contoh |
---|---|---|
fault.name="fault_name" |
fault_name adalah nama fault, seperti yang tercantum pada tabel Error runtime di atas. Nama fault adalah bagian terakhir dari kode fault. | fault.name Matches "TokenExpired" |
JWS.failed |
Semua kebijakan JWS menetapkan variabel yang sama jika terjadi kegagalan. | jws.JWS-Policy.failed = true |
Contoh respons error
Untuk penanganan error, praktik terbaiknya adalah dengan menangkap bagian errorcode
dari respons error. Jangan mengandalkan teks di faultstring
karena dapat berubah.
Contoh aturan kesalahan
<FaultRules> <FaultRule name="JWS Policy Errors"> <Step> <Name>JavaScript-1</Name> <Condition>(fault.name Matches "TokenExpired")</Condition> </Step> <Condition>JWS.failed=true</Condition> </FaultRule> </FaultRules>