Se usó la API de Cloud Translation para traducir esta página.

Genera GenerateJWT

Estás consultando la documentación de Apigee Edge.
Consulta la documentación de Apigee X. Información

Qué

Genera un JWS firmado con un conjunto de reclamaciones configurables. El JWS se puede mostrar a los clientes, transmitido a los objetivos de backend o usarse de otras formas. Consulta la descripción general de las políticas de JWS y JWT para obtener una introducción detallada.

Video

Mira un video breve para aprender a generar un JWT firmado.

Ejemplos

Genera un JWT firmado con el algoritmo HSD256
Generar un JWT firmado con el algoritmo RS256

Genera un JWT firmado con el algoritmo HSD256

Esta política de ejemplo genera un JWT nuevo y lo firma con el algoritmo HS256. HS256 se basa en un secreto compartido para firmar y verificar la firma.

Cuando se activa esta acción de política, Edge codifica el encabezado y la carga útil del JWT y, luego, firma el JWT de manera digital. Mira el video anterior para ver un ejemplo completo, que incluye cómo realizar una solicitud a la política.

Aquí, la configuración de política creará un JWT con un conjunto de reclamaciones estándar según lo definido por la especificación JWT, que incluye un vencimiento de 1 hora y un reclamo adicional. Puedes incluir tantos reclamos adicionales como desees. Consulta la referencia del elemento para obtener detalles sobre los requisitos y las opciones de cada elemento en esta política de muestra.

<GenerateJWT name="JWT-Generate-HS256">
    <DisplayName>JWT Generate HS256</DisplayName>
    <Algorithm>HS256</Algorithm>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <SecretKey>
        <Value ref="private.secretkey"/>
        <Id>1918290</Id>
    </SecretKey>
    <ExpiresIn>1h</ExpiresIn>
    <Subject>monty-pythons-flying-circus</Subject>
    <Issuer>urn://apigee-edge-JWT-policy-test</Issuer>
    <Audience>fans</Audience>
    <Id/>
    <AdditionalClaims>
        <Claim name="show">And now for something completely different.</Claim>
    </AdditionalClaims>
    <OutputVariable>jwt-variable</OutputVariable>
</GenerateJWT>

El JWT resultante tendrá este encabezado …

{
  "typ" : "JWT", 
  "alg" : "HS256",
  "kid" : "1918290"
}

…y tendrá una carga útil con contenido similar al siguiente:

{ 
  "sub" : "monty-pythons-flying-circus",
  "iss" : "urn://apigee-edge-JWT-policy-test",
  "aud" : "show",
  "iat" : 1506553019,
  "exp" : 1506556619,
  "jti" : "BD1FF263-3D25-4593-A685-5EC1326E1F37",
  "show": "And now for something completely different."
}

Los valores de las reclamaciones iat, exp y jti variarán.

Generar un JWT firmado con el algoritmo RS256

Nota: Usa este mismo ejemplo a fin de verificar un JWT para el algoritmo PS256 o ES256. Cambia el valor de <Algorithm>RS256</Algorithm> a PS256 o ES256. Para ES256 también debes especificar una clave compatible con el algoritmo. Para obtener más información sobre los requisitos de las claves, consulta Información sobre los algoritmos de encriptación de firmas.

Esta política de ejemplo generará un JWT nuevo y lo firmará con el algoritmo RS256. Generar de una firma RS256 se basa en una clave privada RSA, que se debe proporcionar en formato de codificación PEM. Mira el video anterior para ver un ejemplo completo, que incluye cómo realizar una solicitud a la política.

Cuando se activa esta acción de política, Edge codifica y firma digitalmente el JWT, incluidos los reclamos. Para obtener información sobre las partes de un JWT y cómo se encriptan y firman, consulta RFC7519.

<GenerateJWT name="JWT-Generate-RS256">
    <Algorithm>RS256</Algorithm>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <PrivateKey>
        <Value ref="private.privatekey"/>
        <Password ref="private.privatekey-password"/>
        <Id ref="private.privatekey-id"/>
    </PrivateKey>
    <Subject>apigee-seattle-hatrack-montage</Subject>
    <Issuer>urn://apigee-edge-JWT-policy-test</Issuer>
    <Audience>urn://c60511c0-12a2-473c-80fd-42528eb65a6a</Audience>
    <ExpiresIn>60m</ExpiresIn>
    <Id/>
    <AdditionalClaims>
        <Claim name="show">And now for something completely different.</Claim>
    </AdditionalClaims>
    <OutputVariable>jwt-variable</OutputVariable>
</GenerateJWT>

Configura los elementos clave

Los elementos que usas para especificar la clave usada para generar el JWT dependen del algoritmo elegido, como se muestra en la siguiente tabla:

Algoritmo Elementos clave

Algoritmo	Elementos clave
HS{256/384/512}^*	<SecretKey> <Value ref="private.secretkey"/> <Id>1918290</Id> </SecretKey>
RS/PS/ES{256/384/512}^*	<PrivateKey> <Value ref="private.privatekey"/> <Password ref="private.privatekey-password"/> <Id ref="private.privatekey-id"/> </PrivateKey> Los elementos `<Password>` y `<Id>` son opcionales.
^* Para obtener más información sobre los requisitos de las claves, consulta Información sobre los algoritmos de encriptación de firmas.

HS{256/384/512}^*

<SecretKey>
  <Value ref="private.secretkey"/>
  <Id>1918290</Id>
</SecretKey>

RS/PS/ES{256/384/512}^*

<PrivateKey>
  <Value ref="private.privatekey"/>
  <Password ref="private.privatekey-password"/>
  <Id ref="private.privatekey-id"/>
</PrivateKey>

Los elementos <Password> y <Id> son opcionales.

^* Para obtener más información sobre los requisitos de las claves, consulta Información sobre los algoritmos de encriptación de firmas.

Referencia del elemento para Generar JWT

La referencia de política describe los elementos y atributos de la política de decodificación de JWS.

Nota: La configuración variará en función del algoritmo de encriptación que uses. Consulta Muestras para ver ejemplos que demuestran configuraciones específicas para casos de uso específicos.

Atributos que se aplican al elemento de nivel superior

<GenerateJWT name="JWT" continueOnError="false" enabled="true" async="false">

Los siguientes atributos son comunes a todos los elementos superiores de la política.

Atributo	Descripción	Valor predeterminado	Presencia
name	El nombre interno de la política. Los caracteres que puede usar en el nombre están restringidos a: `A-Z0-9._\-$ %`. Sin embargo, la IU de administración perimetral aplica restricciones adicionales, como quitar automáticamente los caracteres que no son alfanuméricos. De forma opcional, usa el elemento `<displayname></displayname>` para etiquetar la política en el editor de proxy de la IU de administración con un nombre de lenguaje natural diferente.	No disponible	Obligatorio
continueOnError	Configúralo como `false` para devolver un error cuando una política falla. Este es el comportamiento previsto para la mayoría de las políticas. Configúralo como `true` para continuar con la ejecución del flujo incluso después de que una política falle.	false	Opcional
habilitado	Configúralo como `true` para aplicar la política. Configúralo como `false` para “desactivar” la política. La política no se aplicará, incluso si permanece conectada a un flujo.	true	Opcional
async	Este atributo dejó de estar disponible.	false	Funciones obsoletas

<DisplayName>

<DisplayName>Policy Display Name</DisplayName>

Además de usar el atributo de nombre para etiquetar la política en el editor de proxy de IU de administración con un nombre diferente y con lenguaje natural.

Valor predeterminado	Si omites este elemento, se usa el valor del atributo de nombre de la política.
Presencia	Opcional
Tipo	String

<Algorithm>

<Algorithm>algorithm-here</Algorithm>

Especifica el algoritmo de encriptación para firmar el token.

Valor predeterminado	No disponible
Presencia	Obligatorio
Tipo	String
Valores válidos	HS256, HS384, HS512, RS256, RS384, RS512, ES256, ES384, ES512, PS256, PS384, PS512

<Audience>

<Audience>audience-here</Audience>

or:

<Audience ref='variable_containing_audience'/>

La política genera un JWT que contiene una reclamación aud configurada en el valor especificado. Esta reclamación identifica a los destinatarios para los que está destinado el JWT. Esta es una de las reclamaciones registradas que se mencionan en RFC7519.

Predeterminada	No disponible
Presencia	Opcional
Tipo	Arreglo (una lista de valores separados por comas)
Valores válidos	Todo lo que identifique al público.

<AdditionalClaims/Claim>

<AdditionalClaims>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
</AdditionalClaims>

or:

<AdditionalClaims ref='claim_payload'/>

Te permite especificar pares de nombre/valor de reclamo adicional en la carga útil del JWT. Puedes especificar las reclamaciones de forma explícita como una string, un número, un valor booleano, un mapa o un arreglo. Un mapa es simplemente un conjunto de pares nombre-valor.

El elemento <Claim> admite la función de sustitución dinámica de cadenas denominada plantillas de mensajes cuando type=map.

Valor predeterminado	No disponible
Presencia	Opcional
Valores válidos	Cualquier valor que desees usar para una reclamación adicional. Puedes especificar las reclamaciones de forma explícita como una string, un número, un valor booleano, un mapa o un arreglo.

El elemento <Claim> incluye los siguientes atributos:

name: El nombre del reclamo (obligatorio).
Nota: No uses ninguno de los nombres de las reclamaciones registradas en este elemento. Las reclamaciones registradas se especifican en RFC7519. Estas incluyen: “iss”, “sub”, “aud”, “iat”, “exp”, “nbf” y “jti”.
ref: El nombre de una variable de flujo (opcional). Si está presente, la política usará el valor de esta variable como la reclamación. Si se especifican un atributo ref y un valor de reclamación explícito, el valor explícito es el predeterminado y se usa si la variable de flujo a la que se hace referencia no se resuelve.
type: (Opcional) uno de los siguientes: string, (predeterminado), número, booleano o mapa.
arreglo: (Opcional) Establece en true para indicar si el valor es un arreglo de tipos. Valor predeterminado: false

Cuando incluyes el elemento <Claim>, los nombres de la reclamación se configuran de forma estática cuando configuras la política. Como alternativa, puedes pasar un objeto JSON para especificar los nombres de la reclamación. Debido a que el objeto JSON se pasa como una variable, los nombres de reclamación en el JWT generado se determinan durante el entorno de ejecución.

Por ejemplo:

<AdditionalClaims ref='json_claims'/>

En el que la variable json_claims contiene un objeto JSON en el siguiente formato:

{
  "sub" : "person@example.com",
  "iss" : "urn://secure-issuer@example.com",
  "non-registered-claim" : {
    "This-is-a-thing" : 817,
    "https://example.com/foobar" : { "p": 42, "q": false }
  }
}

El JWT generado incluye todas las reclamaciones en el objeto JSON.

Es importante tener en cuenta el siguiente comportamiento con respecto al uso de una referencia de variable y de valor explícito del reclamo en el elemento Claim:

Edge no generará ningún reclamo en las siguientes condiciones:

si hay una referencia de variable presente, pero no se resuelve, y
si no especificas un valor explícito (un valor predeterminado)
si el atributo IgnoreUnresolvedVariables de la política es true.

Si IgnoreUnresolvedVariables es false, Edge arroja un error en las condiciones anteriores.

Edge generará un reclamo en las siguientes condiciones:

si hay una referencia de variable presente, pero no se resuelve, y
si especifica un valor explícito (un valor predeterminado) y
si IgnoreUnresolvedVariables es true o false

<AdditionalHeaders/Claim>

<AdditionalHeaders>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
    <Claim name='claim4' ref='variable-name' type='string' array='true'/>
 </AdditionalHeaders>

Coloca los pares nombre-valor de reclamo adicionales en el encabezado de la JWS.

El elemento <Claim> admite la función de sustitución dinámica de cadenas denominada plantillas de mensajes cuando type=map.

Valor predeterminado	No disponible
Presencia	Opcional
Valores válidos	Cualquier valor que desees usar para una reclamación adicional. Puedes especificar las reclamaciones de forma explícita como una string, un número, un valor booleano, un mapa o un arreglo.

El elemento <Claim> incluye los siguientes atributos:

name: El nombre del reclamo (obligatorio).
Nota: No uses ninguno de los nombres de las reclamaciones registradas en este elemento. Las reclamaciones registradas se especifican en RFC7519. Estas incluyen: “iss”, “sub”, “aud”, “iat”, “exp”, “nbf” y “jti”.
ref: El nombre de una variable de flujo (opcional). Si está presente, la política usará el valor de esta variable como la reclamación. Si se especifican un atributo ref y un valor de reclamación explícito, el valor explícito es el predeterminado y se usa si la variable de flujo a la que se hace referencia no se resuelve.
type: (Opcional) uno de los siguientes: string, (predeterminado), número, booleano o mapa.
arreglo: (Opcional) Establece en true para indicar si el valor es un arreglo de tipos. Valor predeterminado: false

<CriticalHeaders>

<CriticalHeaders>a,b,c</CriticalHeaders>

or:

<CriticalHeaders ref=’variable_containing_headers’/>

Agrega el encabezado crítico, crit, al encabezado JWT. El encabezado crit es un arreglo de nombres de encabezados que el receptor JWT debe conocer y reconocer. Por ejemplo:

{
  “typ: “...”,
  “alg” : “...”,
  “crit” : [ “a”, “b”, “c” ],
}

En el entorno de ejecución, la política VerifyJWS examina el encabezado crit. Para cada encabezado enumerado en el encabezado crit, verifica que el elemento <KnownHeaders> de la política VerifyJWS también enumere ese encabezado. Cualquier encabezado que la política encuentre en crit que no esté incluido en <KnownHeaders> genera que la política VerifyJWT falle.

Nota: El <CriticalHeaders> no agrega los encabezados al JWT. Solo define el contenido del encabezado crit. Puedes usar el <AdditionalHeader/Claims> para agregar los encabezados.

Predeterminada	No disponible
Presencia	Opcional
Tipo	Arreglo de strings separadas por comas
Valores válidos	Un arreglo o el nombre de una variable que contiene el arreglo.

<CustomClaims>

Nota: Por el momento, se inserta un elemento CustomClaims cuando agregas una política GenerateJWT nueva a través de la IU. Este elemento no es funcional y se ignora. El elemento correcto que debe usarse es <AdditionalClaims>. La IU se actualizará para insertar los elementos correctos más adelante.

<ExpiresIn>

<ExpiresIn>time-value-here</ExpiresIn>

Especifica la duración del JWT en milisegundos, segundos, minutos, horas o días.

Valor predeterminado	`N/A`
Presencia	Opcional
Tipo	Número entero
Valores válidos	Un valor o una referencia a una variable de flujo que contiene el valor. Las unidades de tiempo se pueden especificar de la siguiente manera: ms = milisegundos (predeterminado) s = segundos m = minutos h = horas d = días Por ejemplo, un `ExpiresIn`=10d es equivalente a un `ExpiresIn` de 864000s.

<Id>

<Id>explicit-jti-value-here</Id>
 -or-
<Id ref='variable-name-here'/>
 -or-
<Id/>

Genera un JWT con la reclamación jti específica. Cuando el valor de texto y el atributo ref están vacíos, la política generará un jti que contiene un UUID aleatorio. La reclamación de ID de JWT (jti) es un identificador único para el JWT. Para obtener más información sobre jti, consulta RFC7519.

Valor predeterminado	No disponible
Presencia	Opcional
Tipo	String o referencia.
Valores válidos	Una string o el nombre de una variable de flujo que contiene el ID.

<IgnoreUnresolvedVariables>

<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>

Configúralo como false si deseas que la política muestre un error cuando no se pueda resolver cualquier variable a la que se especifica en la política. Se establece como true para tratar cualquier variable no recuperable como una string vacía (null).

Valor predeterminado	Falso
Presencia	Opcional
Tipo	Booleano
Valores válidos	True o False

<Issuer>

<Issuer ref='variable-name-here'/>
<Issuer>issuer-string-here</Issuer>

La política genera un JWT que contiene una reclamación con el nombre iss, con un valor establecido en el valor especificado. Un reclamo que identifica a la entidad emisora del JWT. Este es uno de los conjuntos de reclamaciones registradas que se mencionan en RFC7519.

Valor predeterminado	No disponible
Presencia	Opcional
Tipo	String o referencia
Valores válidos	Cualquiera

<NotBefore>

<!-- Specify an absolute time. -->
<NotBefore>2017-08-14T11:00:21-07:00</NotBefore>
 -or-
<!-- Specify a time relative to when the token is generated. -->
<NotBefore>6h</NotBefore>

Especifica el momento en que el token pasa a ser válido. El token no es válido hasta el momento especificado. Puedes especificar un valor de tiempo absoluto o una hora relativa al momento en que se genera el token.

Predeterminada	No disponible
Presencia	Opcional
Tipo	String
Valores válidos	Consulta a continuación:

Valores de tiempo válidos para el elemento NotBefore con valores de tiempo absolutos

Nombre	Formato	Ejemplo
sortable	`yyyy-MM-dd'T'HH:mm:ss.SSSZ`	2017-08-14T11:00:21.269-0700
RFC 1123	`EEE, dd MMM yyyy HH:mm:ss zzz`	Lunes 14 de agosto de 2017 a las 11:00:21 PDT
RFC 850	`EEEE, dd-MMM-yy HH:mm:ss zzz`	Lunes, 14 de agosto a las 17 11:00:21 PDT
ANCI-C	`EEE MMM d HH:mm:ss yyyy`	Lun 14 de agosto de 2017 a las 11:00:21

Para valores de tiempo relativos, especifica un número entero y un período, por ejemplo:

10s
60m
12 h

<OutputVariable>

<OutputVariable>jwt-variable</OutputVariable>

Especifica dónde se debe colocar el JWS que genera esta política. De forma predeterminada, se ubica en la variable de flujo jwt.POLICYNAME.generated_jwt.

Predeterminada	`jwt.POLICYNAME.generated_jwt`
Presencia	Opcional
Tipo	String (un nombre de variable de flujo)

<PrivateKey/Id>

<PrivateKey>
  <Id ref="flow-variable-name-here"/>
</PrivateKey>

or

<PrivateKey>
  <Id>your-id-value-here</Id>
</PrivateKey>

Especifica el ID de clave (kid) que se incluirá en el encabezado JWS. Usa solo cuando el algoritmo es uno de RS256/RS384/RS512, PS256/PS384/PS512 o ES256/ES384/ES512.

Predeterminada	No disponible
Presencia	Opcional
Tipo	String
Valores válidos	String o variable de flujo

<PrivateKey/Password>

<PrivateKey>
  <Password ref="private.privatekey-password"/>
</PrivateKey>

Especifica la contraseña que debe usar la política para desencriptar la clave privada, si es necesario. Usa el atributo ref para pasar la clave en una variable de flujo. Usa solo cuando el algoritmo es uno de RS256/RS384/RS512, PS256/PS384/PS512 o ES256/ES384/ES512.

Predeterminada	No disponible
Presencia	Opcional
Tipo	String
Valores válidos	Una referencia de variable de flujo. Nota: Debes especificar una variable de flujo. Edge rechazará una configuración de política en la que se especifique la contraseña en texto simple como no válida. La variable de flujo debe tener el prefijo “privado”. Por ejemplo, `private.mypassword`

<PrivateKey/Value>

<PrivateKey>
  <Value ref="private.variable-name-here"/>
</PrivateKey>

Especifica una clave privada con codificación PEM que se usa para firmar el JWS. Usa el atributo ref para pasar la clave en una variable de flujo. Usa solo cuando el algoritmo es uno de RS256/RS384/RS512, PS256/PS384/PS512 o ES256/ES384/ES512.

Valor predeterminado	No disponible
Presencia	Se necesita para generar un JWT mediante el algoritmo RS256.
Tipo	String
Valores válidos	Una variable de flujo que contiene una string que representa un valor de clave privada RSA con codificación PEM. Nota: La variable de flujo debe tener el prefijo “privado”. Por ejemplo:`private.mykey`

<SecretKey/Id>

<SecretKey>
  <Id ref="flow-variable-name-here"/>
</SecretKey>

or

<SecretKey>
  <Id>your-id-value-here</Id>
</SecretKey>

Especifica el ID de clave (kid) que se debe incluir en el encabezado JWT de un JWT firmado con un algoritmo HMAC. Úsalo solo cuando el algoritmo sea uno de HS256/HS384/HS512.

Predeterminada	No disponible
Presencia	Opcional
Tipo	String
Valores válidos	String o variable de flujo

<SecretKey/Value>

<SecretKey>
  <Value ref="private.your-variable-name"/>
</SecretKey>

Proporciona la clave secreta usada para verificar o firmar tokens con un algoritmo HMAC. Úsalo solo cuando el algoritmo sea uno de HS256/HS384/HS512. Usa el atributo ref para pasar la clave en una variable de flujo.

Edge aplica una seguridad de clave mínima para los algoritmos HS256/HS384/HS512. La longitud mínima de la clave de HS256 es de 32 bytes, para HS384 es de 48 bytes, y para HS512 es de 64 bytes. El uso de una clave de baja intensidad provoca un error en el entorno de ejecución.

Predeterminada	No disponible
Presencia	Obligatorio para los algoritmos HMAC.
Tipo	String
Valores válidos	Una variable de flujo que hace referencia a una string. Nota: Si una variable de flujo, debe tener el prefijo "private". Por ejemplo, `private.mysecret`

<Subject>

<Subject>subject-string-here</Subject>

<Subject ref="flow_variable" />

Por ejemplo:

<Subject ref="apigee.developer.email"/>

La política genera un JWT que contiene una reclamación sub, establecida en el valor especificado. Esta reclamación identifica o realiza una declaración sobre el tema del JWT. Este es uno de los conjuntos de reclamaciones estándar que se mencionan en RFC7519.

Predeterminada	No disponible
Presencia	Opcional
Tipo	String
Valores válidos	Cualquier valor que identifique de forma única un sujeto o una variable de flujo que haga referencia a un valor

Variables de flujo

La política Generar JWS no establece variables de flujo.

Referencia de errores

This section describes the fault codes and error messages that are returned and fault variables that are set by Edge when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.

Runtime errors

These errors can occur when the policy executes.

Fault code	HTTP status	Occurs when
`steps.jwt.AlgorithmInTokenNotPresentInConfiguration`	401	Occurs when the verification policy has multiple algorithms.
`steps.jwt.AlgorithmMismatch`	401	The algorithm specified in the Generate policy did not match the one expected in the Verify policy. The algorithms specified must match.
`steps.jwt.FailedToDecode`	401	The policy was unable to decode the JWT. The JWT is possibly corrupted.
`steps.jwt.GenerationFailed`	401	The policy was unable to generate the JWT.
`steps.jwt.InsufficientKeyLength`	401	For a key less than 32 bytes for the HS256 algorithm, less than 48 bytes for the HS386 algortithm, and less than 64 bytes for the HS512 algorithm.
`steps.jwt.InvalidClaim`	401	For a missing claim or claim mismatch, or a missing header or header mismatch.
`steps.jwt.InvalidCurve`	401	The curve specified by the key is not valid for the Elliptic Curve algorithm.
`steps.jwt.InvalidJsonFormat`	401	Invalid JSON found in the header or payload.
`steps.jwt.InvalidToken`	401	This error occurs when the JWT signature verification fails.
`steps.jwt.JwtAudienceMismatch`	401	The audience claim failed on token verification.
`steps.jwt.JwtIssuerMismatch`	401	The issuer claim failed on token verification.
`steps.jwt.JwtSubjectMismatch`	401	The subject claim failed on token verification.
`steps.jwt.KeyIdMissing`	401	The Verify policy uses a JWKS as a source for public keys, but the signed JWT does not include a `kid` property in the header.
`steps.jwt.KeyParsingFailed`	401	The public key could not be parsed from the given key information.
`steps.jwt.NoAlgorithmFoundInHeader`	401	Occurs when the JWT contains no algorithm header.
`steps.jwt.NoMatchingPublicKey`	401	The Verify policy uses a JWKS as a source for public keys, but the `kid` in the signed JWT is not listed in the JWKS.
`steps.jwt.SigningFailed`	401	In GenerateJWT, for a key less than the minimum size for the HS384 or HS512 algorithms
`steps.jwt.TokenExpired`	401	The policy attempts to verify an expired token.
`steps.jwt.TokenNotYetValid`	401	The token is not yet valid.
`steps.jwt.UnhandledCriticalHeader`	401	A header found by the Verify JWT policy in the `crit` header is not listed in `KnownHeaders`.
`steps.jwt.UnknownException`	401	An unknown exception occurred.
`steps.jwt.WrongKeyType`	401	Wrong type of key specified. For example, if you specify an RSA key for an Elliptic Curve algorithm, or a curve key for an RSA algorithm.

Deployment errors

These errors can occur when you deploy a proxy containing this policy.

Error name	Cause	Fix
`InvalidNameForAdditionalClaim`	The deployment will fail if the claim used in the child element `<Claim>` of the `<AdditionalClaims>` element is one of the following registered names: `kid`, `iss`, `sub`, `aud`, `iat`, `exp`, `nbf`, or `jti`.
`InvalidTypeForAdditionalClaim`	If the claim used in the child element `<Claim>` of the `<AdditionalClaims>` element is not of type `string`, `number`, `boolean`, or `map`, the deployment will fail.
`MissingNameForAdditionalClaim`	If the name of the claim is not specified in the child element `<Claim>` of the `<AdditionalClaims>` element, the deployment will fail.
`InvalidNameForAdditionalHeader`	This error ccurs when the name of the claim used in the child element `<Claim>` of the `<AdditionalClaims>` element is either `alg` or `typ`.
`InvalidTypeForAdditionalHeader`	If the type of claim used in the child element `<Claim>` of the `<AdditionalClaims>` element is not of type `string`, `number`, `boolean`, or `map`, the deployment will fail.
`InvalidValueOfArrayAttribute`	This error occurs when the value of the array attribute in the child element `<Claim>` of the `<AdditionalClaims>` element is not set to `true` or `false`.
`InvalidConfigurationForActionAndAlgorithm`	If the `<PrivateKey>` element is used with HS Family algorithms or the `<SecretKey>` element is used with RSA Family algorithms, the deployment will fail.
`InvalidValueForElement`	If the value specified in the `<Algorithm>` element is not a supported value, the deployment will fail.
`MissingConfigurationElement`	This error will occur if the `<PrivateKey>` element is not used with RSA family algorithms or the `<SecretKey>` element is not used with HS Family algorithms.
`InvalidKeyConfiguration`	If the child element `<Value>` is not defined in the `<PrivateKey>` or `<SecretKey>` elements, the deployment will fail.
`EmptyElementForKeyConfiguration`	If the ref attribute of the child element `<Value>` of the `<PrivateKey>` or `<SecretKey>` elements is empty or unspecified, the deployment will fail.
`InvalidVariableNameForSecret`	This error occurs if the flow variable name specified in the ref attribute of the child element `<Value>` of the `<PrivateKey>` or `<SecretKey>` elements does not contain the private prefix `(private.)`.
`InvalidSecretInConfig`	This error occurs if the child element `<Value>` of the `<PrivateKey>` or `<SecretKey>` elements does not contain the private prefix `(private.)`.
`InvalidTimeFormat`	If the value specified in the`<NotBefore>` element does not use a supported format, the deployment will fail.

Variables con fallas

Estas variables se configuran cuando se genera un error de entorno de ejecución. Para obtener más información, consulta Qué debes saber sobre los errores de la política.

Variables	Donde	Ejemplo
`fault.name="fault_name"`	`fault_name` es el nombre de la falla, como se indica en la tabla de Errores del entorno de ejecución anterior. El nombre de la falla es la última parte del código de la falla.	`fault.name Matches "TokenExpired"`
`JWT.failed`	Todas las políticas de JWT establecen la misma variable en caso de falla.	`JWT.failed = true`

Ejemplo de respuesta de error

Códigos de error de políticas de JWT

Para controlar errores, se recomienda capturar la parte errorcode de la respuesta de error. No dependas del texto en la faultstring, ya que podría cambiar.

Ejemplo de regla de falla

    <FaultRules>
        <FaultRule name="JWT Policy Errors">
            <Step>
                <Name>JavaScript-1</Name>
                <Condition>(fault.name Matches "TokenExpired")</Condition>
            </Step>
            <Condition>JWT.failed=true</Condition>
        </FaultRule>
    </FaultRules>