JJWT नीति जनरेट करें

आपको Apigee Edge दस्तावेज़ दिख रहा है.
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है इस पेज पर जाएं Apigee X दस्तावेज़. जानकारी

क्या

यह हस्ताक्षर किया गया JWT जनरेट करता है. इसमें, कॉन्फ़िगर किए जा सकने वाले दावों का सेट शामिल होता है. इसके बाद, JWT को क्लाइंट, बैकएंड टारगेट पर ट्रांसमिट किए गए हों या दूसरे तरीकों से इस्तेमाल किए गए हों. ज़्यादा जानकारी के लिए, JWS और JWT की नीतियों के बारे में खास जानकारी देखें.

वीडियो

हस्ताक्षर किया गया JWT जनरेट करने का तरीका जानने के लिए, यह छोटा सा वीडियो देखें.

सैंपल

HS256 का इस्तेमाल करके साइन किया गया JWT जनरेट करें एल्गोरिदम

यह उदाहरण नीति एक नया JWT जनरेट करती है और इसे HS256 एल्गोरिदम का इस्तेमाल करके साइन करती है. HS256 निर्भर करता है पर हस्ताक्षर और पुष्टि करने के लिए किया जाता है.

जब नीति से जुड़ी यह कार्रवाई ट्रिगर होती है, तब Edge, JWT हेडर और पेलोड को कोड में बदल देता है. इसके बाद, इसे डिजिटल तरीके से कोड में बदला जाता है JWT पर हस्ताक्षर करता है. पूरा उदाहरण देखने के लिए ऊपर दिया गया वीडियो देखें. इसमें नीति के लिए अनुरोध करने का तरीका भी बताया गया है.

यहां दिया गया नीति कॉन्फ़िगरेशन, स्टैंडर्ड दावों के एक सेट के साथ एक JWT बनाएगा, जैसा कि JWT के स्पेसिफ़िकेशन, जिनमें एक घंटे की समयसीमा शामिल है. साथ ही, एक अतिरिक्त दावा भी शामिल होगा. आप आपके पास जितने चाहें उतने अतिरिक्त दावे शामिल करने होंगे. ज़्यादा जानकारी के लिए, एलिमेंट का रेफ़रंस देखें इस नमूना नीति में दिए गए हर एलिमेंट की ज़रूरी शर्तों और विकल्पों के बारे में ज़्यादा जानें.

<GenerateJWT name="JWT-Generate-HS256">
    <DisplayName>JWT Generate HS256</DisplayName>
    <Algorithm>HS256</Algorithm>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <SecretKey>
        <Value ref="private.secretkey"/>
        <Id>1918290</Id>
    </SecretKey>
    <ExpiresIn>1h</ExpiresIn>
    <Subject>monty-pythons-flying-circus</Subject>
    <Issuer>urn://apigee-edge-JWT-policy-test</Issuer>
    <Audience>fans</Audience>
    <Id/>
    <AdditionalClaims>
        <Claim name="show">And now for something completely different.</Claim>
    </AdditionalClaims>
    <OutputVariable>jwt-variable</OutputVariable>
</GenerateJWT>

नतीजे के तौर पर मिलने वाले JWT का हेडर होगा ...

{
  "typ" : "JWT", 
  "alg" : "HS256",
  "kid" : "1918290"
}

... और इसमें कुछ इस तरह की सामग्री वाला पेलोड होगा:

{ 
  "sub" : "monty-pythons-flying-circus",
  "iss" : "urn://apigee-edge-JWT-policy-test",
  "aud" : "show",
  "iat" : 1506553019,
  "exp" : 1506556619,
  "jti" : "BD1FF263-3D25-4593-A685-5EC1326E1F37",
  "show": "And now for something completely different."
}

iat, exp, और jti दावों की वैल्यू अलग-अलग होंगे.

RS256 की मदद से साइन किया गया JWT जनरेट करें एल्गोरिदम

उदाहरण के तौर पर दी गई यह नीति, एक नया JWT जनरेट करती है और इसे RS256 एल्गोरिदम का इस्तेमाल करके साइन करती है. जनरेट हो रहा है RS256 सिग्नेचर, आरएसए प्राइवेट पासकोड पर निर्भर करता है, जिसे PEM कोड में बदले गए फ़ॉर्म में दिया जाना चाहिए. पूरा उदाहरण देखने के लिए ऊपर दिया गया वीडियो देखें. इसमें नीति के लिए अनुरोध करने का तरीका भी बताया गया है.

जब नीति से जुड़ी यह कार्रवाई ट्रिगर होती है, तब Edge, JWT को कोड में बदल देता है और डिजिटल रूप से साइन करता है. इसमें दावे भी शामिल होते हैं. JWT के हिस्सों के बारे में जानने और उन्हें एन्क्रिप्ट करने और हस्ताक्षर करने का तरीका जानने के लिए, RFC7519 पर जाएं.

<GenerateJWT name="JWT-Generate-RS256">
    <Algorithm>RS256</Algorithm>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <PrivateKey>
        <Value ref="private.privatekey"/>
        <Password ref="private.privatekey-password"/>
        <Id ref="private.privatekey-id"/>
    </PrivateKey>
    <Subject>apigee-seattle-hatrack-montage</Subject>
    <Issuer>urn://apigee-edge-JWT-policy-test</Issuer>
    <Audience>urn://c60511c0-12a2-473c-80fd-42528eb65a6a</Audience>
    <ExpiresIn>60m</ExpiresIn>
    <Id/>
    <AdditionalClaims>
        <Claim name="show">And now for something completely different.</Claim>
    </AdditionalClaims>
    <OutputVariable>jwt-variable</OutputVariable>
</GenerateJWT>

मुख्य एलिमेंट सेट करना

JWT जनरेट करने के लिए इस्तेमाल होने वाली कुंजी तय करने के लिए जिन एलिमेंट का इस्तेमाल किया जाता है वे आपके चुने गए एल्गोरिदम पर निर्भर करते हैं, जैसा कि नीचे दी गई टेबल में दिखाया गया है:

एल्‍गोरि‍दम खास एलिमेंट
एचएस{256/384/512}* 
<SecretKey>
  <Value ref="private.secretkey"/>
  <Id>1918290</Id>
</SecretKey>
RS/PS/ES{256/384/512}* 
<PrivateKey>
  <Value ref="private.privatekey"/>
  <Password ref="private.privatekey-password"/>
  <Id ref="private.privatekey-id"/>
</PrivateKey>

<Password> और <Id> एलिमेंट ज़रूरी नहीं हैं.
*मुख्य शर्तों के बारे में ज़्यादा जानने के लिए, यहां जाएं हस्ताक्षर एन्क्रिप्ट करने के एल्गोरिदम के बारे में जानकारी.

JWT जनरेट करने के लिए एलिमेंट रेफ़रंस

पॉलिसी रेफ़रंस में, JWT जनरेट करने की नीति के एलिमेंट और एट्रिब्यूट के बारे में बताया गया है.

ध्यान दें: एन्क्रिप्ट (सुरक्षित) करने के तरीके के हिसाब से कॉन्फ़िगरेशन कुछ हद तक अलग होगा एल्गोरिदम का इस्तेमाल किया जाता है. यह दिखाने वाले उदाहरण देखने के लिए, सैंपल देखें कॉन्फ़िगरेशन.

ऐसे एट्रिब्यूट जो टॉप-लेवल एलिमेंट पर लागू करें

<GenerateJWT name="JWT" continueOnError="false" enabled="true" async="false">

ये एट्रिब्यूट, नीति के सभी पैरंट एलिमेंट में एक जैसे होते हैं.

एट्रिब्यूट जानकारी डिफ़ॉल्ट मौजूदगी
नाम नीति का अंदरूनी नाम. नाम में इस्तेमाल किए जा सकने वाले वर्ण इन तक सीमित हैं: A-Z0-9._\-$ %. हालांकि, Edge मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) की मदद से पाबंदियां, जैसे कि अक्षर और अंक के अलावा किसी और वर्ण को अपने-आप हटाना.

विकल्प के तौर पर, <displayname></displayname> एलिमेंट का इस्तेमाल करके मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) के प्रॉक्सी एडिटर में, नीति को अलग और आम भाषा में लेबल करें नाम.

 लागू नहीं ज़रूरी है
continueOnError किसी नीति के काम न करने पर, गड़बड़ी दिखाने के लिए false पर सेट करें. यह उम्मीद है व्यवहार की जानकारी देने वाला डेटा.

नीति के लागू होने के बाद भी फ़्लो को एक्ज़ीक्यूट करने के लिए, इसे true पर सेट करें विफल होता है.

 गलत वैकल्पिक
चालू किया गया नीति को लागू करने के लिए, true पर सेट करें.

false को "बंद करें" पर सेट करें नीति के बारे में ज़्यादा जानें. नीति लागू नहीं की जाएगी भले ही वह किसी फ़्लो से जुड़ा हुआ हो.

 सही वैकल्पिक
एक साथ काम नहीं करने वाली प्रोसेस यह एट्रिब्यूट अब काम नहीं करता. गलत बहिष्कृत

&lt;DisplayName&gt;

<DisplayName>Policy Display Name</DisplayName>

मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) प्रॉक्सी एडिटर में नीति को लेबल करने के लिए, नाम एट्रिब्यूट के अलावा इस्तेमाल करें पर क्लिक करें.

डिफ़ॉल्ट अगर इस एलिमेंट को छोड़ा जाता है, तो नीति के नाम वाले एट्रिब्यूट की वैल्यू का इस्तेमाल किया जाता है.
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है स्ट्रिंग

&lt;Algorithm&gt;

<Algorithm>algorithm-here</Algorithm>

इस नीति से, टोकन पर हस्ताक्षर करने के लिए, एन्क्रिप्ट (सुरक्षित) करने का एल्गोरिदम तय किया जाता है.

डिफ़ॉल्ट लागू नहीं
मौजूदगी ज़रूरी है
स्ट्रीम किस तरह की है स्ट्रिंग
मान्य वैल्यू एचएस256, एचएस384, एचएस512, आरएस256, आरएस384, आरएस512, ES256, ES384, ES512, PS256, PS384, PS512

&lt;Audience&gt;

<Audience>audience-here</Audience>

or:

<Audience ref='variable_containing_audience'/>

यह नीति, JWT जनरेट करती है. इसमें, बताई गई कैटगरी में ऑडी दावा सेट होता है वैल्यू. यह दावा उन लोगों की पहचान करता है जिनके लिए JWT लिखा गया है. यह इनमें से एक है RFC7519 में बताए गए रजिस्टर्ड दावे.

डिफ़ॉल्ट लागू नहीं
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है अरे (कॉमा लगाकर अलग की गई वैल्यू की सूची)
मान्य वैल्यू ऑडियंस की पहचान से जुड़ी कोई भी जानकारी.

&lt;AdditionalClaims/Claim&gt;

<AdditionalClaims>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
</AdditionalClaims>

or:

<AdditionalClaims ref='claim_payload'/>

इससे आपको JWT के पेलोड में, दावे का अतिरिक्त नाम/वैल्यू पेयर तय करने की सुविधा मिलती है. यह तय किया जा सकता है कि साफ़ तौर पर स्ट्रिंग, संख्या, बूलियन, मैप या अरे के तौर पर दावा किया जा सकता है. मैप सिर्फ़ नाम/वैल्यू का सेट होता है पेयर.

डिफ़ॉल्ट लागू नहीं
मौजूदगी वैकल्पिक
मान्य वैल्यू कोई भी वैल्यू, जिसका इस्तेमाल आपको दूसरे दावे के लिए करना है. यह तय किया जा सकता है कि साफ़ तौर पर स्ट्रिंग, संख्या, बूलियन, मैप या अरे के तौर पर दावा किया जा सकता है.

<Claim> एलिमेंट में ये एट्रिब्यूट इस्तेमाल किए जाते हैं:

  • name - (ज़रूरी है) दावे का नाम.
  • ref - (ज़रूरी नहीं) फ़्लो वैरिएबल का नाम. अगर यह वैल्यू मौजूद है, तो नीति इस वैल्यू का इस्तेमाल करेगी दावे के तौर पर इस्तेमाल किया जा सकता है. अगर ref एट्रिब्यूट और किसी साफ़ दावे की वैल्यू, दोनों के बारे में बताया गया है, तो एक्सप्लिसिट वैल्यू डिफ़ॉल्ट होती है. इसका इस्तेमाल तब किया जाता है, जब रेफ़रंस फ़्लो वैरिएबल से समस्या हल न हो.
  • type - (ज़रूरी नहीं) इनमें से कोई एक: स्ट्रिंग (डिफ़ॉल्ट), संख्या, बूलियन या मैप
  • array - (ज़रूरी नहीं) वैल्यू, अलग-अलग तरह के कलेक्शन के तौर पर है या नहीं, यह बताने के लिए true पर सेट करें. डिफ़ॉल्ट: गलत.

<Claim> एलिमेंट शामिल करने पर, दावों के नाम स्टैटिक रूप से सेट होते हैं. ऐसा तब होता है, जब नीति को कॉन्फ़िगर करें. इसके अलावा, दावों के नाम बताने के लिए, JSON ऑब्जेक्ट पास किया जा सकता है. JSON ऑब्जेक्ट को वैरिएबल के तौर पर पास किया जाता है, इसलिए जनरेट किए गए JWT में दावे के नाम रनटाइम के दौरान तय किए जाते हैं.

उदाहरण के लिए:

<AdditionalClaims ref='json_claims'/>

जहां वैरिएबल json_claims में फ़ॉर्म में JSON ऑब्जेक्ट होता है:

{
  "sub" : "person@example.com",
  "iss" : "urn://secure-issuer@example.com",
  "non-registered-claim" : {
    "This-is-a-thing" : 817,
    "https://example.com/foobar" : { "p": 42, "q": false }
  }
}

जनरेट किए गए JWT में JSON ऑब्जेक्ट के सभी दावे शामिल होते हैं.

&lt;AdditionalHeaders/Claim&gt;

<AdditionalHeaders>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
    <Claim name='claim4' ref='variable-name' type='string' array='true'/>
 </AdditionalHeaders>

JWT के लिए हेडर में अतिरिक्त दावा नाम/वैल्यू पेयर डालता है.

डिफ़ॉल्ट लागू नहीं
मौजूदगी वैकल्पिक
मान्य वैल्यू कोई भी वैल्यू, जिसका इस्तेमाल आपको दूसरे दावे के लिए करना है. यह तय किया जा सकता है कि साफ़ तौर पर स्ट्रिंग, संख्या, बूलियन, मैप या अरे के तौर पर दावा किया जा सकता है.

<Claim> एलिमेंट में ये एट्रिब्यूट इस्तेमाल किए जाते हैं:

  • name - (ज़रूरी है) दावे का नाम.
  • ref - (ज़रूरी नहीं) फ़्लो वैरिएबल का नाम. अगर यह वैल्यू मौजूद है, तो नीति इस वैल्यू का इस्तेमाल करेगी दावे के तौर पर इस्तेमाल किया जा सकता है. अगर ref एट्रिब्यूट और किसी साफ़ दावे की वैल्यू, दोनों के बारे में बताया गया है, तो एक्सप्लिसिट वैल्यू डिफ़ॉल्ट होती है. इसका इस्तेमाल तब किया जाता है, जब रेफ़रंस फ़्लो वैरिएबल से समस्या हल न हो.
  • type - (ज़रूरी नहीं) इनमें से कोई एक: स्ट्रिंग (डिफ़ॉल्ट), संख्या, बूलियन या मैप
  • array - (ज़रूरी नहीं) true पर सेट करके बताएं कि वैल्यू, अलग-अलग टाइप के कलेक्शन में से एक है या नहीं. डिफ़ॉल्ट: गलत.

&lt;CriticalHeaders&gt;

<CriticalHeaders>a,b,c</CriticalHeaders>

or:

<CriticalHeaders ref=variable_containing_headers/>

JWT हेडर में ज़रूरी हेडर, crit जोड़ता है. crit हेडर हेडर नामों का एक कलेक्शन होता है, जिसे JWT रिसीवर को जाना और पहचाना जाना चाहिए. उदाहरण के लिए:

{
  “typ: “...”,
  “alg” : “...”,
  “crit” : [ “a”, “b”, “c” ],
}

रनटाइम के दौरान, VerifyJWT नीति crit हेडर की जांच करती है. crit हेडर में लिस्ट किए गए हर आइटम के लिए, यह जांच करता है कि <KnownHeaders> एलिमेंट VerifyJWT नीति के तहत यह हेडर भी शामिल होता है. ऐसा कोई भी हेडर जो VerifyJWT नीति को crit में मिलता है जिसकी जानकारी <KnownHeaders> में भी नहीं दी गई है उसकी वजह से VerifyJWT नीति काम नहीं कर पाती है.

डिफ़ॉल्ट लागू नहीं
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है कॉमा से अलग की गई स्ट्रिंग का अरे
मान्य वैल्यू कोई अरे या अरे वाले वैरिएबल का नाम.

&lt;CustomClaims&gt;

ध्यान दें: फ़िलहाल, जब कोई नया कस्टम दावा जोड़ा जाता है, तो एक कस्टम दावे वाला एलिमेंट डाला जाता है यूज़र इंटरफ़ेस (यूआई) की मदद से, JWT नीति जनरेट करें. यह एलिमेंट काम नहीं कर रहा है और इसे अनदेखा कर दिया गया है. सही जवाब इसके बजाय &lt;AdditionalClaims&gt; एलिमेंट का इस्तेमाल किया जाएगा. यूज़र इंटरफ़ेस (यूआई) ये काम करेगा इसे अपडेट किया जाएगा, ताकि बाद में सही एलिमेंट शामिल किए जा सकें.

&lt;ExpiresIn&gt;

<ExpiresIn>time-value-here</ExpiresIn>

मिलीसेकंड, सेकंड, मिनट, घंटे या दिनों में JWT के पूरा होने की जानकारी देता है.

डिफ़ॉल्ट N/A
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है पूर्णांक
मान्य वैल्यू

कोई वैल्यू या ऐसे फ़्लो वैरिएबल का रेफ़रंस जिसमें वैल्यू मौजूद होती है. समय की इकाइयां नीचे बताए गए तरीके से बताया गया है:

  • ms = मिलीसेकंड (डिफ़ॉल्ट)
  • s = सेकंड
  • मी॰ = मिनट
  • h = घंटे
  • d = दिन

उदाहरण के लिए, ExpiresIn=10d, ExpiresIn=10d के बराबर है 86,4000 के दशक का है.

&lt;Id&gt;

<Id>explicit-jti-value-here</Id>
 -or-
<Id ref='variable-name-here'/>
 -or-
<Id/>

किसी खास जेटीआई दावे के साथ जेडब्ल्यूटी जनरेट करता है. जब टेक्स्ट वैल्यू और रेफ़रंस एट्रिब्यूट, दोनों खाली होने पर, नीति एक रैंडम यूयूआईडी वाली जेटीआई जनरेट करेगी. JWT आईडी (jti) दावा JWT के लिए यूनीक आइडेंटिफ़ायर. जेटीआई के बारे में ज़्यादा जानकारी के लिए, RFC7519 देखें.

डिफ़ॉल्ट लागू नहीं
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है स्ट्रिंग या रेफ़रंस.
मान्य वैल्यू एक स्ट्रिंग या आईडी वाले फ़्लो वैरिएबल का नाम.

&lt;IgnoreUnresolvedVariables&gt;

<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>

अगर आपको किसी रेफ़रंस वैरिएबल के बताए जाने पर, नीति से गड़बड़ी की सूचना देनी है, तो 'गलत' पर सेट करें हल नहीं किया जा सकता. किसी भी रिज़ॉल्व नहीं किए जा सकने वाले वैरिएबल को खाली स्ट्रिंग के तौर पर ट्रीट करने के लिए, 'सही' पर सेट करें (शून्य).

डिफ़ॉल्ट गलत
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है बूलियन
मान्य वैल्यू सही या गलत

&lt;Issuer&gt;

<Issuer ref='variable-name-here'/>
<Issuer>issuer-string-here</Issuer>

यह नीति एक JWT जनरेट करती है,जिसमें वैल्यू सेट के साथ iss नाम वाला दावा होता है वैल्यू डालें. ऐसा दावा जिससे JWT जारी करने वाले की पहचान की जाती है. यह इनमें से एक है RFC7519 में बताए गए, रजिस्टर किए गए दावों का सेट.

डिफ़ॉल्ट लागू नहीं
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है स्ट्रिंग या रेफ़रंस
मान्य वैल्यू कोई भी

&lt;NotBefore&gt;

<!-- Specify an absolute time. -->
<NotBefore>2017-08-14T11:00:21-07:00</NotBefore>
 -or-
<!-- Specify a time relative to when the token is generated. -->
<NotBefore>6h</NotBefore>

टोकन के मान्य होने के समय के बारे में बताता है. तय किए गए समय तक, टोकन अमान्य रहेगा. आपके पास टोकन के जनरेट होने के समय की कुल वैल्यू या उसके हिसाब से समय की जानकारी देने का विकल्प होता है.

डिफ़ॉल्ट लागू नहीं
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है स्ट्रिंग
मान्य वैल्यू नीचे देखें.

कुल समय की वैल्यू के लिए, Not मानक एलिमेंट के लिए समय की मान्य वैल्यू

नाम फ़ॉर्मैट उदाहरण
क्रम से लगाया जा सकता है yyyy-MM-dd'T'HH:mm:ss.SSSZ 2017-08-14T11:00:21.269-0700
आरएफ़सी 1123 EEE, dd MMM yyyy HH:mm:ss zzz सोमवार, 14 अगस्त 2017 11:00:21 PDT
आरएफ़सी 850 EEEE, dd-MMM-yy HH:mm:ss zzz सोमवार, 14 अगस्त से 17 अगस्त, 11:00:21 पीडीटी
ANCI-C EEE MMM d HH:mm:ss yyyy सोमवार 14 अगस्त 11:00:21, 2017

मिलती-जुलती समय की वैल्यू के लिए, एक पूर्णांक और समयावधि बताएं. जैसे:

  • 10 सेकंड
  • 60 मिनट
  • 12 घं॰

&lt;OutputVariable&gt;

<OutputVariable>jwt-variable</OutputVariable>

इससे पता चलता है कि इस नीति से जनरेट किए गए JWT को कहां रखा जाएगा. डिफ़ॉल्ट रूप से इसे फ़्लो वैरिएबल jwt.POLICYNAME.generated_jwt.

डिफ़ॉल्ट jwt.POLICYNAME.generated_jwt
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है स्ट्रिंग (फ़्लो वैरिएबल का नाम)

&lt;PrivateKey/Id&gt;

<PrivateKey>
  <Id ref="flow-variable-name-here"/>
</PrivateKey>

or

<PrivateKey>
  <Id>your-id-value-here</Id>
</PrivateKey>

यह जेडब्लयूटी हेडर में शामिल करने के लिए कुंजी आईडी (बच्चा) बताता है. सिर्फ़ इस्तेमाल के लिए जब एल्गोरिदम RS256/RS384/RS512, PS256/PS384/PS512 या ES256/ES384/ES512 में से कोई एक हो.

डिफ़ॉल्ट लागू नहीं
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है स्ट्रिंग
मान्य वैल्यू फ़्लो वैरिएबल या स्ट्रिंग

&lt;PrivateKey/Password&gt;

<PrivateKey>
  <Password ref="private.privatekey-password"/>
</PrivateKey>

अगर ज़रूरी हो, तो वह पासवर्ड बताएं जिसका इस्तेमाल नीति को निजी पासकोड को डिक्रिप्ट करने के लिए करना चाहिए. इसका इस्तेमाल करें ref एट्रिब्यूट का इस्तेमाल करें. सिर्फ़ इस्तेमाल के लिए जब एल्गोरिदम RS256/RS384/RS512, PS256/PS384/PS512 या ES256/ES384/ES512 में से कोई एक हो.

डिफ़ॉल्ट लागू नहीं
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है स्ट्रिंग
मान्य वैल्यू फ़्लो वैरिएबल का रेफ़रंस.

ध्यान दें: आपको एक फ़्लो वैरिएबल तय करना होगा. Edge अमान्य के तौर पर अस्वीकार हो जाएगा नीति का कॉन्फ़िगरेशन, जिसमें पासवर्ड को सादे टेक्स्ट में दिखाया गया है. फ़्लो वैरिएबल "निजी" प्रीफ़िक्स होना चाहिए. उदाहरण के लिए, private.mypassword

&lt;PrivateKey/Value&gt;

<PrivateKey>
  <Value ref="private.variable-name-here"/>
</PrivateKey>

इस नीति से, PEM कोड में बदली गई निजी कुंजी के बारे में पता चलता है, जिसका इस्तेमाल JWT को साइन करने के लिए किया जाता है. इस वाक्य को पास करने के लिए, कुंजी सेट करें. सिर्फ़ तब इस्तेमाल करें, जब एल्गोरिदम RS256/RS384/RS512 में से कोई एक हो, PS256/PS384/PS512 या ES256/ES384/ES512.

डिफ़ॉल्ट लागू नहीं
मौजूदगी RS256 एल्गोरिदम की मदद से JWT जनरेट करना ज़रूरी है.
स्ट्रीम किस तरह की है स्ट्रिंग
मान्य वैल्यू ऐसा फ़्लो वैरिएबल जिसमें PEM कोड में बदली गई आरएसए निजी कुंजी की वैल्यू दिखाने वाली स्ट्रिंग होती है.

ध्यान दें: फ़्लो वैरिएबल का प्रीफ़िक्स "निजी" होना चाहिए. उदाहरण के लिए, private.mykey अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है

&lt;SecretKey/Id&gt;

<SecretKey>
  <Id ref="flow-variable-name-here"/>
</SecretKey>

or

<SecretKey>
  <Id>your-id-value-here</Id>
</SecretKey>

यह नीति एचएमएसी से साइन किए गए JWT के हेडर में शामिल करने के लिए, पासकोड (बच्चा) का आईडी बताती है एल्गोरिदम. सिर्फ़ तब इस्तेमाल करें, जब एल्गोरिदम HS256/HS384/HS512 में से कोई एक हो.

डिफ़ॉल्ट लागू नहीं
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है स्ट्रिंग
मान्य वैल्यू फ़्लो वैरिएबल या स्ट्रिंग

&lt;SecretKey/Value&gt;

<SecretKey>
  <Value ref="private.your-variable-name"/>
</SecretKey>

यह नीति एचएमएसी एल्गोरिदम की मदद से, टोकन की पुष्टि करने या उन पर हस्ताक्षर करने के लिए इस्तेमाल की जाने वाली सीक्रेट कुंजी देती है. सिर्फ़ इस्तेमाल के लिए जब एल्गोरिदम HS256/HS384/HS512 में से एक हो. ref एट्रिब्यूट का इस्तेमाल करना का इस्तेमाल करें.

Edge, HS256/HS384/HS512 एल्गोरिदम के लिए कम से कम कुंजी की ताकत लागू करता है. कुंजी की कम से कम लंबाई HS256 के लिए यह 32 बाइट, HS384 के लिए यह 48 बाइट, और HS512 के लिए 64 बाइट है. कम ताकत वाली कुंजी का इस्तेमाल करने से रनटाइम की गड़बड़ी होती है.

डिफ़ॉल्ट लागू नहीं
मौजूदगी HMAC एल्गोरिदम के लिए ज़रूरी है.
स्ट्रीम किस तरह की है स्ट्रिंग
मान्य वैल्यू स्ट्रिंग को रेफ़र करने वाला फ़्लो वैरिएबल

ध्यान दें: अगर फ़्लो वैरिएबल होता है, तो उसका प्रीफ़िक्स "निजी" होना चाहिए. इसके लिए उदाहरण, private.mysecret

&lt;Subject&gt;

<Subject>subject-string-here</Subject>
 या 
<Subject ref="flow_variable" />

उदाहरण के लिए:

<Subject ref="apigee.developer.email"/>

यह नीति, सदस्यता के दावे वाला JWT जनरेट करती है. वैल्यू.यह दावा, JWT के विषय की पहचान करता है या उसके बारे में जानकारी देता है. यह इनमें से एक है दावों के मानक सेट की जानकारी, RFC7519 में बताए गए हैं.

डिफ़ॉल्ट लागू नहीं
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है स्ट्रिंग
मान्य वैल्यू कोई भी वैल्यू, जिससे किसी विषय या वैल्यू को रेफ़र करने वाले फ़्लो वैरिएबल की खास तौर पर पहचान होती है.

फ़्लो वैरिएबल

JWT जनरेट करने की नीति, फ़्लो वैरिएबल सेट नहीं करती है.

गड़बड़ी का रेफ़रंस

This section describes the fault codes and error messages that are returned and fault variables that are set by Edge when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.

Runtime errors

These errors can occur when the policy executes.

Fault code HTTP status Occurs when
steps.jwt.AlgorithmInTokenNotPresentInConfiguration 401 Occurs when the verification policy has multiple algorithms.
steps.jwt.AlgorithmMismatch 401 The algorithm specified in the Generate policy did not match the one expected in the Verify policy. The algorithms specified must match.
steps.jwt.FailedToDecode 401 The policy was unable to decode the JWT. The JWT is possibly corrupted.
steps.jwt.GenerationFailed 401 The policy was unable to generate the JWT.
steps.jwt.InsufficientKeyLength 401 For a key less than 32 bytes for the HS256 algorithm, less than 48 bytes for the HS386 algortithm, and less than 64 bytes for the HS512 algorithm.
steps.jwt.InvalidClaim 401 For a missing claim or claim mismatch, or a missing header or header mismatch.
steps.jwt.InvalidCurve 401 The curve specified by the key is not valid for the Elliptic Curve algorithm.
steps.jwt.InvalidJsonFormat 401 Invalid JSON found in the header or payload.
steps.jwt.InvalidToken 401 This error occurs when the JWT signature verification fails.
steps.jwt.JwtAudienceMismatch 401 The audience claim failed on token verification.
steps.jwt.JwtIssuerMismatch 401 The issuer claim failed on token verification.
steps.jwt.JwtSubjectMismatch 401 The subject claim failed on token verification.
steps.jwt.KeyIdMissing 401 The Verify policy uses a JWKS as a source for public keys, but the signed JWT does not include a kid property in the header.
steps.jwt.KeyParsingFailed 401 The public key could not be parsed from the given key information.
steps.jwt.NoAlgorithmFoundInHeader 401 Occurs when the JWT contains no algorithm header.
steps.jwt.NoMatchingPublicKey 401 The Verify policy uses a JWKS as a source for public keys, but the kid in the signed JWT is not listed in the JWKS.
steps.jwt.SigningFailed 401 In GenerateJWT, for a key less than the minimum size for the HS384 or HS512 algorithms
steps.jwt.TokenExpired 401 The policy attempts to verify an expired token.
steps.jwt.TokenNotYetValid 401 The token is not yet valid.
steps.jwt.UnhandledCriticalHeader 401 A header found by the Verify JWT policy in the crit header is not listed in KnownHeaders.
steps.jwt.UnknownException 401 An unknown exception occurred.
steps.jwt.WrongKeyType 401 Wrong type of key specified. For example, if you specify an RSA key for an Elliptic Curve algorithm, or a curve key for an RSA algorithm.

Deployment errors

These errors can occur when you deploy a proxy containing this policy.

Error name Cause Fix
InvalidNameForAdditionalClaim The deployment will fail if the claim used in the child element <Claim> of the <AdditionalClaims> element is one of the following registered names: kid, iss, sub, aud, iat, exp, nbf, or jti.
InvalidTypeForAdditionalClaim If the claim used in the child element <Claim> of the <AdditionalClaims> element is not of type string, number, boolean, or map, the deployment will fail.
MissingNameForAdditionalClaim If the name of the claim is not specified in the child element <Claim> of the <AdditionalClaims> element, the deployment will fail.
InvalidNameForAdditionalHeader This error ccurs when the name of the claim used in the child element <Claim> of the <AdditionalClaims> element is either alg or typ.
InvalidTypeForAdditionalHeader If the type of claim used in the child element <Claim> of the <AdditionalClaims> element is not of type string, number, boolean, or map, the deployment will fail.
InvalidValueOfArrayAttribute This error occurs when the value of the array attribute in the child element <Claim> of the <AdditionalClaims> element is not set to true or false.
InvalidConfigurationForActionAndAlgorithm If the <PrivateKey> element is used with HS Family algorithms or the <SecretKey> element is used with RSA Family algorithms, the deployment will fail.
InvalidValueForElement If the value specified in the <Algorithm> element is not a supported value, the deployment will fail.
MissingConfigurationElement This error will occur if the <PrivateKey> element is not used with RSA family algorithms or the <SecretKey> element is not used with HS Family algorithms.
InvalidKeyConfiguration If the child element <Value> is not defined in the <PrivateKey> or <SecretKey> elements, the deployment will fail.
EmptyElementForKeyConfiguration If the ref attribute of the child element <Value> of the <PrivateKey> or <SecretKey> elements is empty or unspecified, the deployment will fail.
InvalidVariableNameForSecret This error occurs if the flow variable name specified in the ref attribute of the child element <Value> of the <PrivateKey> or <SecretKey> elements does not contain the private prefix (private.).
InvalidSecretInConfig This error occurs if the child element <Value> of the <PrivateKey> or <SecretKey> elements does not contain the private prefix (private.).
InvalidTimeFormat If the value specified in the<NotBefore> element does not use a supported format, the deployment will fail.

गड़बड़ी के वैरिएबल

रनटाइम की गड़बड़ी होने पर ये वैरिएबल सेट किए जाते हैं. ज़्यादा जानकारी के लिए, आपके लिए ज़रूरी जानकारी देखें नीति से जुड़ी गड़बड़ियों के बारे में जानकारी.

वैरिएबल कहां उदाहरण
fault.name="fault_name" fault_name गड़बड़ी का नाम है, जैसा कि ऊपर रनटाइम में गड़बड़ियां टेबल में बताया गया है. गड़बड़ी का नाम, गड़बड़ी के कोड का आखिरी हिस्सा होता है. fault.name Matches "TokenExpired"
JWT.failed कोई गड़बड़ी होने पर, JWT की सभी नीतियां एक ही वैरिएबल सेट करती हैं. JWT.failed = true

गड़बड़ी के रिस्पॉन्स का उदाहरण

JWT नीति फ़ॉल्ट कोड

गड़बड़ी ठीक करने के लिए, सबसे सही तरीका यह है कि गड़बड़ी के errorcode वाले हिस्से को छिपाया जाए जवाब. faultstring में मौजूद टेक्स्ट पर पूरी तरह भरोसा न करें, क्योंकि इससे बदलाव हो सकता है.

गड़बड़ी के नियम का उदाहरण

    <FaultRules>
        <FaultRule name="JWT Policy Errors">
            <Step>
                <Name>JavaScript-1</Name>
                <Condition>(fault.name Matches "TokenExpired")</Condition>
            </Step>
            <Condition>JWT.failed=true</Condition>
        </FaultRule>
    </FaultRules>