این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

ایجاد خط مشی JWT

شما در حال مشاهده اسناد Apigee Edge هستید.
به مستندات Apigee X بروید . اطلاعات

چی

یک JWT امضا شده با مجموعه ای از ادعاهای قابل تنظیم ایجاد می کند. سپس JWT می تواند به مشتریان بازگردانده شود، به اهداف پشتیبان منتقل شود یا به روش های دیگر استفاده شود. برای معرفی دقیق ، مرور کلی سیاست های JWS و JWT را ببینید.

ویدیو

برای یادگیری نحوه تولید یک JWT امضا شده، یک ویدیوی کوتاه تماشا کنید.

نمونه ها

یک JWT امضا شده با الگوریتم HS256 ایجاد کنید
یک JWT امضا شده با الگوریتم RS256 ایجاد کنید

یک JWT امضا شده با الگوریتم HS256 ایجاد کنید

این سیاست مثال یک JWT جدید ایجاد می کند و با استفاده از الگوریتم HS256 آن را امضا می کند. HS256 به یک راز مشترک برای امضا و تأیید امضا متکی است.

وقتی این اقدام خط‌مشی راه‌اندازی می‌شود، Edge سرصفحه و بار JWT را رمزگذاری می‌کند، سپس JWT را به صورت دیجیتال امضا می‌کند. برای مثال کامل، از جمله نحوه درخواست از خط مشی، ویدیوی بالا را ببینید.

پیکربندی خط‌مشی در اینجا یک JWT با مجموعه‌ای از ادعاهای استاندارد که توسط مشخصات JWT تعریف شده است، از جمله یک ساعت انقضا و همچنین یک ادعای اضافی ایجاد می‌کند. شما می توانید به تعداد دلخواه ادعاهای اضافی اضافه کنید. برای جزئیات بیشتر در مورد الزامات و گزینه‌های هر عنصر در این خط‌مشی نمونه، به مرجع عنصر مراجعه کنید.

<GenerateJWT name="JWT-Generate-HS256">
    <DisplayName>JWT Generate HS256</DisplayName>
    <Algorithm>HS256</Algorithm>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <SecretKey>
        <Value ref="private.secretkey"/>
        <Id>1918290</Id>
    </SecretKey>
    <ExpiresIn>1h</ExpiresIn>
    <Subject>monty-pythons-flying-circus</Subject>
    <Issuer>urn://apigee-edge-JWT-policy-test</Issuer>
    <Audience>fans</Audience>
    <Id/>
    <AdditionalClaims>
        <Claim name="show">And now for something completely different.</Claim>
    </AdditionalClaims>
    <OutputVariable>jwt-variable</OutputVariable>
</GenerateJWT>

JWT حاصل این هدر را خواهد داشت…

{
  "typ" : "JWT", 
  "alg" : "HS256",
  "kid" : "1918290"
}

… و دارای محتویاتی مانند زیر خواهد بود:

{ 
  "sub" : "monty-pythons-flying-circus",
  "iss" : "urn://apigee-edge-JWT-policy-test",
  "aud" : "show",
  "iat" : 1506553019,
  "exp" : 1506556619,
  "jti" : "BD1FF263-3D25-4593-A685-5EC1326E1F37",
  "show": "And now for something completely different."
}

ارزش ادعاهای iat ، exp و jti متفاوت خواهد بود.

یک JWT امضا شده با الگوریتم RS256 ایجاد کنید

توجه: از همین مثال برای ایجاد JWT برای الگوریتم PS256 یا ES256 استفاده کنید. فقط مقدار <Algorithm>RS256</Algorithm> به PS256 یا ES256 تغییر دهید. برای ES256 شما همچنین باید یک کلید سازگار با الگوریتم را مشخص کنید. برای اطلاعات بیشتر در مورد الزامات کلیدی، درباره الگوریتم‌های رمزگذاری امضا را ببینید.

این سیاست مثال یک JWT جدید ایجاد می کند و با استفاده از الگوریتم RS256 آن را امضا می کند. تولید امضای RS256 به یک کلید خصوصی RSA متکی است که باید به صورت کدگذاری شده با PEM ارائه شود. برای مثال کامل، از جمله نحوه درخواست از خط مشی، ویدیوی بالا را ببینید.

وقتی این اقدام خط‌مشی راه‌اندازی می‌شود، Edge JWT، از جمله ادعاها، را رمزگذاری کرده و به صورت دیجیتالی امضا می‌کند. برای آشنایی با قطعات یک JWT و نحوه رمزگذاری و امضای آنها، به RFC7519 مراجعه کنید.

<GenerateJWT name="JWT-Generate-RS256">
    <Algorithm>RS256</Algorithm>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <PrivateKey>
        <Value ref="private.privatekey"/>
        <Password ref="private.privatekey-password"/>
        <Id ref="private.privatekey-id"/>
    </PrivateKey>
    <Subject>apigee-seattle-hatrack-montage</Subject>
    <Issuer>urn://apigee-edge-JWT-policy-test</Issuer>
    <Audience>urn://c60511c0-12a2-473c-80fd-42528eb65a6a</Audience>
    <ExpiresIn>60m</ExpiresIn>
    <Id/>
    <AdditionalClaims>
        <Claim name="show">And now for something completely different.</Claim>
    </AdditionalClaims>
    <OutputVariable>jwt-variable</OutputVariable>
</GenerateJWT>

تنظیم عناصر کلیدی

عناصری که برای تعیین کلید مورد استفاده برای تولید JWT استفاده می کنید به الگوریتم انتخابی بستگی دارد، همانطور که در جدول زیر نشان داده شده است:

الگوریتم	عناصر کلیدی
HS{256/384/512} ^*	<SecretKey> <Value ref="private.secretkey"/> <Id>1918290</Id> </SecretKey>
RS/PS/ES{256/384/512} ^*	<PrivateKey> <Value ref="private.privatekey"/> <Password ref="private.privatekey-password"/> <Id ref="private.privatekey-id"/> </PrivateKey> عناصر `<Password>` و `<Id>` اختیاری هستند.
^* برای اطلاعات بیشتر در مورد الزامات کلیدی، درباره الگوریتم‌های رمزگذاری امضا را ببینید.

مرجع عنصر برای Generate JWT

مرجع خط مشی عناصر و ویژگی های خط مشی Generate JWT را توصیف می کند.

توجه: پیکربندی بسته به الگوریتم رمزگذاری مورد استفاده شما تا حدودی متفاوت خواهد بود. برای نمونه هایی که پیکربندی ها را برای موارد استفاده خاص نشان می دهد، به نمونه ها مراجعه کنید.

ویژگی هایی که برای عنصر سطح بالا اعمال می شود

<GenerateJWT name="JWT" continueOnError="false" enabled="true" async="false">

ویژگی های زیر برای همه عناصر اصلی خط مشی مشترک است.

صفت	توضیحات	پیش فرض	حضور
نام	نام داخلی سیاست. نویسه هایی که می توانید در نام استفاده کنید محدود به: `A-Z0-9._\-$ %` . با این حال، رابط کاربری مدیریت Edge محدودیت‌های بیشتری را اعمال می‌کند، مانند حذف خودکار کاراکترهایی که حروف عددی نیستند. به صورت اختیاری، از عنصر `<displayname></displayname>` برای برچسب گذاری خط مشی در ویرایشگر پروکسی UI مدیریت با نامی به زبان طبیعی متفاوت استفاده کنید.	N/A	مورد نیاز
continueOnError	برای بازگرداندن خطا در صورت شکست خط مشی، روی `false` تنظیم کنید. این رفتار مورد انتظار برای اکثر سیاست ها است. روی `true` تنظیم کنید تا اجرای جریان حتی پس از شکست خط مشی ادامه یابد.	نادرست	اختیاری
فعال شد	برای اجرای خط مشی روی `true` تنظیم کنید. برای "خاموش کردن" خط مشی، روی `false` تنظیم کنید. این سیاست حتی اگر به یک جریان وابسته باشد اجرا نخواهد شد.	درست است	اختیاری
ناهمگام	این ویژگی منسوخ شده است.	نادرست	منسوخ شده است

<DisplayName>

<DisplayName>Policy Display Name</DisplayName>

علاوه بر ویژگی نام، برای برچسب‌گذاری خط‌مشی در ویرایشگر پروکسی رابط کاربری مدیریت با نامی متفاوت و به زبان طبیعی، از آن استفاده کنید.

پیش فرض	اگر این عنصر را حذف کنید، از مقدار ویژگی نام خط مشی استفاده می شود.
حضور	اختیاری
تایپ کنید	رشته

<الگوریتم>

<Algorithm>algorithm-here</Algorithm>

الگوریتم رمزگذاری را برای امضای توکن مشخص می کند.

پیش فرض	N/A
حضور	مورد نیاز
تایپ کنید	رشته
مقادیر معتبر	HS256, HS384, HS512, RS256, RS384, RS512, ES256, ES384, ES512, PS256, PS384, PS512

<مخاطب>

<Audience>audience-here</Audience>

or:

<Audience ref='variable_containing_audience'/>

این خط‌مشی یک JWT ایجاد می‌کند که حاوی یک ادعای حسابرسی است که روی مقدار مشخص شده تنظیم شده است. این ادعا گیرندگانی را که JWT برای آنها در نظر گرفته شده است مشخص می کند. این یکی از ادعاهای ثبت شده در RFC7519 است.

پیش فرض	N/A
حضور	اختیاری
تایپ کنید	آرایه (لیستی از مقادیر جدا شده با کاما)
مقادیر معتبر	هر چیزی که مخاطب را شناسایی کند.

<AdditionalClaims/Claim>

<AdditionalClaims>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
</AdditionalClaims>

or:

<AdditionalClaims ref='claim_payload'/>

به شما امکان می دهد جفت(های) نام/مقدار ادعای اضافی را در محموله JWT مشخص کنید. شما می توانید ادعا را به طور صریح به صورت رشته، عدد، بولی، نقشه یا آرایه مشخص کنید. نقشه به سادگی مجموعه ای از جفت نام/مقدار است.

عنصر <Claim> از ویژگی جایگزینی رشته پویا به نام قالب پیام در هنگام type=map پشتیبانی می کند.

پیش فرض	N/A
حضور	اختیاری
مقادیر معتبر	هر مقداری که می خواهید برای ادعای اضافی استفاده کنید. شما می توانید ادعا را به طور صریح به صورت رشته، عدد، بولی، نقشه یا آرایه مشخص کنید.

عنصر <Claim> این ویژگی ها را می گیرد:

نام - (لازم) نام ادعا.
توجه: از هیچ یک از نام های ادعای ثبت شده در این عنصر استفاده نکنید. ادعاهای ثبت شده در RFC7519 مشخص شده است. آنها عبارتند از: "iss"، "sub"، "aud"، "iat"، "exp"، "nbf" و "jti".
ref - (اختیاری) نام یک متغیر جریان. در صورت وجود، خط مشی از مقدار این متغیر به عنوان ادعا استفاده می کند. اگر هم یک ویژگی ref و هم مقدار ادعای صریح مشخص شده باشد، مقدار صریح پیش‌فرض است و اگر متغیر جریان ارجاع‌شده حل نشده باشد استفاده می‌شود.
نوع - (اختیاری) یکی از: رشته (پیش‌فرض)، عدد، بولی یا نقشه
آرایه - (اختیاری) برای نشان دادن اینکه آیا مقدار آرایه ای از انواع است، روی true تنظیم کنید. پیش فرض: نادرست.

وقتی عنصر <Claim> وارد می‌کنید، هنگام پیکربندی خط‌مشی، نام ادعاها به صورت ایستا تنظیم می‌شوند. همچنین، می‌توانید یک شی JSON را برای تعیین نام ادعا ارسال کنید. از آنجا که شی JSON به عنوان یک متغیر ارسال می شود، نام ادعا در JWT تولید شده در زمان اجرا تعیین می شود.

به عنوان مثال:

<AdditionalClaims ref='json_claims'/>

جایی که متغیر json_claims حاوی یک شی JSON به شکل زیر است:

{
  "sub" : "person@example.com",
  "iss" : "urn://secure-issuer@example.com",
  "non-registered-claim" : {
    "This-is-a-thing" : 817,
    "https://example.com/foobar" : { "p": 42, "q": false }
  }
}

JWT ایجاد شده شامل تمام ادعاهای موجود در شی JSON است.

توجه به رفتار زیر در رابطه با استفاده از یک مرجع متغیر و یک مقدار ادعای صریح در عنصر Claim مهم است:

Edge تحت این شرایط ادعایی ایجاد نمی کند :

اگر یک مرجع متغیر وجود داشته باشد، اما حل نشده باشد، و
اگر یک مقدار صریح (مقدار پیش فرض) را مشخص نکنید، و
اگر ویژگی خط مشی IgnoreUnresolvedVariables true باشد.

اگر IgnoreUnresolvedVariables false باشد، Edge در شرایط بالا خطا می‌کند.

Edge تحت این شرایط ادعایی ایجاد می کند :

اگر یک مرجع متغیر وجود داشته باشد، اما حل نشده باشد، و
اگر یک مقدار صریح (مقدار پیش فرض) را مشخص کنید و
اگر IgnoreUnresolvedVariables true یا false باشد

<AdditionalHeaders/Claim>

<AdditionalHeaders>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
    <Claim name='claim4' ref='variable-name' type='string' array='true'/>
 </AdditionalHeaders>

جفت(های) نام/مقدار ادعای اضافی را در سرصفحه JWT قرار می دهد.

عنصر <Claim> از ویژگی جایگزینی رشته پویا به نام قالب پیام در هنگام type=map پشتیبانی می کند.

پیش فرض	N/A
حضور	اختیاری
مقادیر معتبر	هر مقداری که می خواهید برای ادعای اضافی استفاده کنید. شما می توانید ادعا را به طور صریح به صورت رشته، عدد، بولی، نقشه یا آرایه مشخص کنید.

عنصر <Claim> این ویژگی ها را می گیرد:

نام - (لازم) نام ادعا.
توجه: از هیچ یک از نام های ادعای ثبت شده در این عنصر استفاده نکنید. ادعاهای ثبت شده در RFC7519 مشخص شده است. آنها عبارتند از: "iss"، "sub"، "aud"، "iat"، "exp"، "nbf" و "jti".
ref - (اختیاری) نام یک متغیر جریان. در صورت وجود، خط مشی از مقدار این متغیر به عنوان ادعا استفاده می کند. اگر هم یک ویژگی ref و هم مقدار ادعای صریح مشخص شده باشد، مقدار صریح پیش‌فرض است و اگر متغیر جریان ارجاع‌شده حل نشده باشد استفاده می‌شود.
نوع - (اختیاری) یکی از: رشته (پیش‌فرض)، عدد، بولی یا نقشه
آرایه - (اختیاری) برای نشان دادن اینکه آیا مقدار آرایه ای از انواع است، روی true تنظیم کنید. پیش فرض: نادرست.

<CriticalHeaders>

<CriticalHeaders>a,b,c</CriticalHeaders>

or:

<CriticalHeaders ref=’variable_containing_headers’/>

هدر بحرانی، crit را به هدر JWT اضافه می کند. هدر crit آرایه ای از نام هدر است که باید توسط گیرنده JWT شناخته و شناسایی شود. به عنوان مثال:

{
  “typ: “...”,
  “alg” : “...”,
  “crit” : [ “a”, “b”, “c” ],
}

در زمان اجرا، خط مشی VerifyJWT هدر crit را بررسی می کند. برای هر آیتم فهرست شده در هدر crit ، بررسی می کند که عنصر <KnownHeaders> سیاست VerifyJWT آن هدر را نیز فهرست کند. هر هدری که خط مشی VerifyJWT در crit پیدا کند و در <KnownHeaders> نیز فهرست نشده باشد، باعث شکست خط مشی VerifyJWT می شود.

توجه: <CriticalHeaders> در واقع هدرها را به JWT اضافه نمی کند. فقط محتویات هدر crit را تعریف می کند. می توانید از <AdditionalHeader/Claims> برای اضافه کردن سرصفحه ها استفاده کنید.

پیش فرض	N/A
حضور	اختیاری
تایپ کنید	آرایه رشته ها با کاما جدا شده است
مقادیر معتبر	یک آرایه یا نام یک متغیر حاوی آرایه.

<CustomClaims>

توجه: در حال حاضر، وقتی یک خط‌مشی GenerateJWT جدید را از طریق UI اضافه می‌کنید، یک عنصر CustomClaims درج می‌شود. این عنصر کاربردی نیست و نادیده گرفته می شود. عنصر صحیح برای استفاده در عوض <AdditionalClaims> است. رابط کاربری برای درج عناصر صحیح در فرصتی دیگر به روز می شود.

<ExpiresIn>

<ExpiresIn>time-value-here</ExpiresIn>

طول عمر JWT را بر حسب میلی ثانیه، ثانیه، دقیقه، ساعت یا روز مشخص می کند.

پیش فرض	`N/A`
حضور	اختیاری
تایپ کنید	عدد صحیح
مقادیر معتبر	یک مقدار یا یک مرجع به یک متغیر جریان حاوی مقدار. واحدهای زمانی را می توان به صورت زیر مشخص کرد: ms = میلی ثانیه (پیش فرض) s = ثانیه m = دقیقه h = ساعت d = روز برای مثال، `ExpiresIn` = 10d معادل `ExpiresIn` 864000 است.

<Id>

<Id>explicit-jti-value-here</Id>
 -or-
<Id ref='variable-name-here'/>
 -or-
<Id/>

یک JWT با ادعای jti خاص ایجاد می کند. وقتی مقدار متن و ویژگی ref هر دو خالی باشند، این خط مشی یک jti حاوی یک UUID تصادفی ایجاد می کند. ادعای JWT ID (jti) یک شناسه منحصر به فرد برای JWT است. برای اطلاعات بیشتر در مورد jti، به RFC7519 مراجعه کنید.

پیش فرض	N/A
حضور	اختیاری
تایپ کنید	رشته یا مرجع.
مقادیر معتبر	یک رشته یا نام یک متغیر جریان حاوی شناسه.

<IgnoreUnresolvedVariables>

<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>

اگر می‌خواهید وقتی هر متغیر ارجاعی مشخص‌شده در خط‌مشی غیرقابل حل است، خط‌مشی خطایی ایجاد کند، روی false تنظیم کنید. مقدار true را تنظیم کنید تا هر متغیر غیرقابل حلی را به عنوان یک رشته خالی (تهی) در نظر بگیرید.

پیش فرض	نادرست
حضور	اختیاری
تایپ کنید	بولی
مقادیر معتبر	درست یا نادرست

<صادر کننده>

<Issuer ref='variable-name-here'/>
<Issuer>issuer-string-here</Issuer>

این خط‌مشی یک JWT حاوی ادعایی با نام iss ایجاد می‌کند که مقدار آن روی مقدار مشخص شده تنظیم شده است. ادعایی که صادرکننده JWT را مشخص می کند. این یکی از مجموعه ادعاهای ثبت شده ذکر شده در RFC7519 است.

پیش فرض	N/A
حضور	اختیاری
تایپ کنید	رشته یا مرجع
مقادیر معتبر	هر

<NotBefore>

<!-- Specify an absolute time. -->
<NotBefore>2017-08-14T11:00:21-07:00</NotBefore>
 -or-
<!-- Specify a time relative to when the token is generated. -->
<NotBefore>6h</NotBefore>

زمان معتبر شدن توکن را مشخص می کند. رمز تا زمان مشخص شده نامعتبر است. شما می توانید یک مقدار زمان مطلق یا زمانی نسبت به زمانی که توکن تولید می شود را مشخص کنید.

پیش فرض	N/A
حضور	اختیاری
تایپ کنید	رشته
مقادیر معتبر	زیر را ببینید.

مقادیر زمانی معتبر برای عنصر NotBefore برای مقادیر زمان مطلق

نام	قالب	مثال
قابل مرتب سازی	`yyyy-MM-dd'T'HH:mm:ss.SSSZ`	2017-08-14T11:00:21.269-0700
RFC 1123	`EEE, dd MMM yyyy HH:mm:ss zzz`	دوشنبه، 14 آگوست 2017، 11:00:21 PDT
RFC 850	`EEEE, dd-MMM-yy HH:mm:ss zzz`	دوشنبه، 14-17 اوت، 11:00:21 PDT
ANCI-C	`EEE MMM d HH:mm:ss yyyy`	دوشنبه 14 اوت 11:00:21 2017

برای مقادیر زمانی نسبی، یک عدد صحیح و یک دوره زمانی را مشخص کنید، به عنوان مثال:

دهه 10
60 متر
ساعت 12

<OutputVariable>

<OutputVariable>jwt-variable</OutputVariable>

محل قرار دادن JWT تولید شده توسط این سیاست را مشخص می کند. به طور پیش فرض در متغیر جریان jwt. POLICYNAME .generated_jwt .

پیش فرض	`jwt. POLICYNAME .generated_jwt`
حضور	اختیاری
تایپ کنید	رشته (نام متغیر جریان)

<PrivateKey/Id>

<PrivateKey>
  <Id ref="flow-variable-name-here"/>
</PrivateKey>

or

<PrivateKey>
  <Id>your-id-value-here</Id>
</PrivateKey>

شناسه کلید (کودک) را برای درج در هدر JWT مشخص می کند. فقط زمانی استفاده کنید که الگوریتم یکی از RS256/RS384/RS512، PS256/PS384/PS512، یا ES256/ES384/ES512 باشد.

پیش فرض	N/A
حضور	اختیاری
تایپ کنید	رشته
مقادیر معتبر	یک متغیر جریان یا رشته

<PrivateKey/Password>

<PrivateKey>
  <Password ref="private.privatekey-password"/>
</PrivateKey>

در صورت لزوم، رمز عبوری را که سیاست باید برای رمزگشایی کلید خصوصی استفاده کند، مشخص کنید. از ویژگی ref برای ارسال کلید در متغیر جریان استفاده کنید. فقط زمانی استفاده کنید که الگوریتم یکی از RS256/RS384/RS512، PS256/PS384/PS512، یا ES256/ES384/ES512 باشد.

پیش فرض	N/A
حضور	اختیاری
تایپ کنید	رشته
مقادیر معتبر	مرجع متغیر جریان توجه: شما باید یک متغیر جریان را مشخص کنید. Edge پیکربندی خط مشی را که در آن رمز عبور در متن ساده مشخص شده است به عنوان نامعتبر رد می کند. متغیر جریان باید دارای پیشوند خصوصی باشد. برای مثال `private.mypassword`

<PrivateKey/Value>

<PrivateKey>
  <Value ref="private.variable-name-here"/>
</PrivateKey>

یک کلید خصوصی رمزگذاری شده با PEM را مشخص می کند که برای امضای JWT استفاده می شود. از ویژگی ref برای ارسال کلید در متغیر جریان استفاده کنید. فقط زمانی استفاده کنید که الگوریتم یکی از RS256/RS384/RS512، PS256/PS384/PS512، یا ES256/ES384/ES512 باشد.

پیش فرض	N/A
حضور	برای تولید JWT با استفاده از الگوریتم RS256 مورد نیاز است.
تایپ کنید	رشته
مقادیر معتبر	یک متغیر جریان حاوی رشته ای که یک مقدار کلید خصوصی RSA با رمزگذاری PEM را نشان می دهد. نکته: متغیر جریان باید دارای پیشوند خصوصی باشد. به عنوان مثال `private.mykey`

<SecretKey/Id>

<SecretKey>
  <Id ref="flow-variable-name-here"/>
</SecretKey>

or

<SecretKey>
  <Id>your-id-value-here</Id>
</SecretKey>

شناسه کلید (کودک) را مشخص می کند تا در هدر JWT یک JWT امضا شده با الگوریتم HMAC گنجانده شود. فقط زمانی استفاده کنید که الگوریتم یکی از HS256/HS384/HS512 باشد.

پیش فرض	N/A
حضور	اختیاری
تایپ کنید	رشته
مقادیر معتبر	یک متغیر جریان یا رشته

<SecretKey/Value>

<SecretKey>
  <Value ref="private.your-variable-name"/>
</SecretKey>

کلید مخفی مورد استفاده برای تأیید یا امضای نشانه ها با الگوریتم HMAC را ارائه می دهد. فقط زمانی استفاده کنید که الگوریتم یکی از HS256/HS384/HS512 باشد. از ویژگی ref برای ارسال کلید در متغیر جریان استفاده کنید.

Edge حداقل قدرت کلید را برای الگوریتم‌های HS256/HS384/HS512 اعمال می‌کند. حداقل طول کلید برای HS256 32 بایت، برای HS384 48 بایت و برای HS512 64 بایت است. استفاده از یک کلید با قدرت کمتر باعث خطای زمان اجرا می شود.

پیش فرض	N/A
حضور	برای الگوریتم های HMAC مورد نیاز است.
تایپ کنید	رشته
مقادیر معتبر	یک متغیر جریان که به یک رشته اشاره دارد نکته: اگر یک متغیر جریان باشد، باید پیشوند "خصوصی" داشته باشد. مثلا `private.mysecret`

<موضوع>

<Subject>subject-string-here</Subject>

یا

<Subject ref="flow_variable" />

به عنوان مثال:

<Subject ref="apigee.developer.email"/>

این خط‌مشی یک JWT حاوی یک ادعای فرعی را ایجاد می‌کند که روی مقدار مشخص شده تنظیم شده است. این ادعا موضوع JWT را شناسایی یا بیان می‌کند. این یکی از مجموعه استاندارد ادعاهای ذکر شده در RFC7519 است.

پیش فرض	N/A
حضور	اختیاری
تایپ کنید	رشته
مقادیر معتبر	هر مقداری که به طور منحصر به فرد یک موضوع یا یک متغیر جریان را که به یک مقدار اشاره می کند، شناسایی می کند.

متغیرهای جریان

خط مشی Generate JWT متغیرهای جریان را تنظیم نمی کند.

مرجع خطا

This section describes the fault codes and error messages that are returned and fault variables that are set by Edge when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.

Runtime errors

These errors can occur when the policy executes.

Fault code	HTTP status	Occurs when
`steps.jwt.AlgorithmInTokenNotPresentInConfiguration`	401	Occurs when the verification policy has multiple algorithms.
`steps.jwt.AlgorithmMismatch`	401	The algorithm specified in the Generate policy did not match the one expected in the Verify policy. The algorithms specified must match.
`steps.jwt.FailedToDecode`	401	The policy was unable to decode the JWT. The JWT is possibly corrupted.
`steps.jwt.GenerationFailed`	401	The policy was unable to generate the JWT.
`steps.jwt.InsufficientKeyLength`	401	For a key less than 32 bytes for the HS256 algorithm, less than 48 bytes for the HS386 algortithm, and less than 64 bytes for the HS512 algorithm.
`steps.jwt.InvalidClaim`	401	For a missing claim or claim mismatch, or a missing header or header mismatch.
`steps.jwt.InvalidCurve`	401	The curve specified by the key is not valid for the Elliptic Curve algorithm.
`steps.jwt.InvalidJsonFormat`	401	Invalid JSON found in the header or payload.
`steps.jwt.InvalidToken`	401	This error occurs when the JWT signature verification fails.
`steps.jwt.JwtAudienceMismatch`	401	The audience claim failed on token verification.
`steps.jwt.JwtIssuerMismatch`	401	The issuer claim failed on token verification.
`steps.jwt.JwtSubjectMismatch`	401	The subject claim failed on token verification.
`steps.jwt.KeyIdMissing`	401	The Verify policy uses a JWKS as a source for public keys, but the signed JWT does not include a `kid` property in the header.
`steps.jwt.KeyParsingFailed`	401	The public key could not be parsed from the given key information.
`steps.jwt.NoAlgorithmFoundInHeader`	401	Occurs when the JWT contains no algorithm header.
`steps.jwt.NoMatchingPublicKey`	401	The Verify policy uses a JWKS as a source for public keys, but the `kid` in the signed JWT is not listed in the JWKS.
`steps.jwt.SigningFailed`	401	In GenerateJWT, for a key less than the minimum size for the HS384 or HS512 algorithms
`steps.jwt.TokenExpired`	401	The policy attempts to verify an expired token.
`steps.jwt.TokenNotYetValid`	401	The token is not yet valid.
`steps.jwt.UnhandledCriticalHeader`	401	A header found by the Verify JWT policy in the `crit` header is not listed in `KnownHeaders`.
`steps.jwt.UnknownException`	401	An unknown exception occurred.
`steps.jwt.WrongKeyType`	401	Wrong type of key specified. For example, if you specify an RSA key for an Elliptic Curve algorithm, or a curve key for an RSA algorithm.

Deployment errors

These errors can occur when you deploy a proxy containing this policy.

Error name	Cause	Fix
`InvalidNameForAdditionalClaim`	The deployment will fail if the claim used in the child element `<Claim>` of the `<AdditionalClaims>` element is one of the following registered names: `kid`, `iss`, `sub`, `aud`, `iat`, `exp`, `nbf`, or `jti`.
`InvalidTypeForAdditionalClaim`	If the claim used in the child element `<Claim>` of the `<AdditionalClaims>` element is not of type `string`, `number`, `boolean`, or `map`, the deployment will fail.
`MissingNameForAdditionalClaim`	If the name of the claim is not specified in the child element `<Claim>` of the `<AdditionalClaims>` element, the deployment will fail.
`InvalidNameForAdditionalHeader`	This error ccurs when the name of the claim used in the child element `<Claim>` of the `<AdditionalClaims>` element is either `alg` or `typ`.
`InvalidTypeForAdditionalHeader`	If the type of claim used in the child element `<Claim>` of the `<AdditionalClaims>` element is not of type `string`, `number`, `boolean`, or `map`, the deployment will fail.
`InvalidValueOfArrayAttribute`	This error occurs when the value of the array attribute in the child element `<Claim>` of the `<AdditionalClaims>` element is not set to `true` or `false`.
`InvalidConfigurationForActionAndAlgorithm`	If the `<PrivateKey>` element is used with HS Family algorithms or the `<SecretKey>` element is used with RSA Family algorithms, the deployment will fail.
`InvalidValueForElement`	If the value specified in the `<Algorithm>` element is not a supported value, the deployment will fail.
`MissingConfigurationElement`	This error will occur if the `<PrivateKey>` element is not used with RSA family algorithms or the `<SecretKey>` element is not used with HS Family algorithms.
`InvalidKeyConfiguration`	If the child element `<Value>` is not defined in the `<PrivateKey>` or `<SecretKey>` elements, the deployment will fail.
`EmptyElementForKeyConfiguration`	If the ref attribute of the child element `<Value>` of the `<PrivateKey>` or `<SecretKey>` elements is empty or unspecified, the deployment will fail.
`InvalidVariableNameForSecret`	This error occurs if the flow variable name specified in the ref attribute of the child element `<Value>` of the `<PrivateKey>` or `<SecretKey>` elements does not contain the private prefix `(private.)`.
`InvalidSecretInConfig`	This error occurs if the child element `<Value>` of the `<PrivateKey>` or `<SecretKey>` elements does not contain the private prefix `(private.)`.
`InvalidTimeFormat`	If the value specified in the`<NotBefore>` element does not use a supported format, the deployment will fail.

Fault variables

These variables are set when a runtime error occurs. For more information, see What you need to know about policy errors.

Variables	Where	Example
`fault.name="fault_name"`	`fault_name` is the name of the fault, as listed in the Runtime errors table above. The fault name is the last part of the fault code.	`fault.name Matches "TokenExpired"`
`JWT.failed`	All JWT policies set the same variable in the case of a failure.	`JWT.failed = true`

Example error response

JWT Policy Fault Codes

For error handling, the best practice is to trap the errorcode part of the error response. Do not rely on the text in the faultstring, because it could change.

Example fault rule

    <FaultRules>
        <FaultRule name="JWT Policy Errors">
            <Step>
                <Name>JavaScript-1</Name>
                <Condition>(fault.name Matches "TokenExpired")</Condition>
            </Step>
            <Condition>JWT.failed=true</Condition>
        </FaultRule>
    </FaultRules>