ایجاد خط مشی JWT

شما در حال مشاهده اسناد Apigee Edge هستید.
به مستندات Apigee X بروید . اطلاعات

چی

یک JWT امضا شده با مجموعه ای از ادعاهای قابل تنظیم ایجاد می کند. سپس JWT می تواند به مشتریان بازگردانده شود، به اهداف پشتیبان منتقل شود یا به روش های دیگر استفاده شود. برای معرفی دقیق ، مرور کلی سیاست های JWS و JWT را ببینید.

ویدیو

برای یادگیری نحوه تولید یک JWT امضا شده، یک ویدیوی کوتاه تماشا کنید.

نمونه ها

یک JWT امضا شده با الگوریتم HS256 ایجاد کنید

این سیاست مثال یک JWT جدید ایجاد می کند و با استفاده از الگوریتم HS256 آن را امضا می کند. HS256 به یک راز مشترک برای امضا و تأیید امضا متکی است.

وقتی این اقدام خط‌مشی راه‌اندازی می‌شود، Edge سرصفحه و بار JWT را رمزگذاری می‌کند، سپس JWT را به صورت دیجیتال امضا می‌کند. برای مثال کامل، از جمله نحوه درخواست از خط مشی، ویدیوی بالا را ببینید.

پیکربندی خط‌مشی در اینجا یک JWT با مجموعه‌ای از ادعاهای استاندارد که توسط مشخصات JWT تعریف شده است، از جمله یک ساعت انقضا و همچنین یک ادعای اضافی ایجاد می‌کند. شما می توانید به تعداد دلخواه ادعاهای اضافی اضافه کنید. برای جزئیات بیشتر در مورد الزامات و گزینه‌های هر عنصر در این خط‌مشی نمونه، به مرجع عنصر مراجعه کنید.

<GenerateJWT name="JWT-Generate-HS256">
    <DisplayName>JWT Generate HS256</DisplayName>
    <Algorithm>HS256</Algorithm>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <SecretKey>
        <Value ref="private.secretkey"/>
        <Id>1918290</Id>
    </SecretKey>
    <ExpiresIn>1h</ExpiresIn>
    <Subject>monty-pythons-flying-circus</Subject>
    <Issuer>urn://apigee-edge-JWT-policy-test</Issuer>
    <Audience>fans</Audience>
    <Id/>
    <AdditionalClaims>
        <Claim name="show">And now for something completely different.</Claim>
    </AdditionalClaims>
    <OutputVariable>jwt-variable</OutputVariable>
</GenerateJWT>

JWT حاصل این هدر را خواهد داشت…

{
  "typ" : "JWT", 
  "alg" : "HS256",
  "kid" : "1918290"
}

… و دارای محتویاتی مانند زیر خواهد بود:

{ 
  "sub" : "monty-pythons-flying-circus",
  "iss" : "urn://apigee-edge-JWT-policy-test",
  "aud" : "show",
  "iat" : 1506553019,
  "exp" : 1506556619,
  "jti" : "BD1FF263-3D25-4593-A685-5EC1326E1F37",
  "show": "And now for something completely different."
}

ارزش ادعاهای iat ، exp و jti متفاوت خواهد بود.

یک JWT امضا شده با الگوریتم RS256 ایجاد کنید

این سیاست مثال یک JWT جدید ایجاد می کند و با استفاده از الگوریتم RS256 آن را امضا می کند. تولید امضای RS256 به یک کلید خصوصی RSA متکی است که باید به صورت کدگذاری شده با PEM ارائه شود. برای مثال کامل، از جمله نحوه درخواست از خط مشی، ویدیوی بالا را ببینید.

وقتی این اقدام خط‌مشی راه‌اندازی می‌شود، Edge JWT، از جمله ادعاها، را رمزگذاری کرده و به صورت دیجیتالی امضا می‌کند. برای آشنایی با قطعات یک JWT و نحوه رمزگذاری و امضای آنها، به RFC7519 مراجعه کنید.

<GenerateJWT name="JWT-Generate-RS256">
    <Algorithm>RS256</Algorithm>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <PrivateKey>
        <Value ref="private.privatekey"/>
        <Password ref="private.privatekey-password"/>
        <Id ref="private.privatekey-id"/>
    </PrivateKey>
    <Subject>apigee-seattle-hatrack-montage</Subject>
    <Issuer>urn://apigee-edge-JWT-policy-test</Issuer>
    <Audience>urn://c60511c0-12a2-473c-80fd-42528eb65a6a</Audience>
    <ExpiresIn>60m</ExpiresIn>
    <Id/>
    <AdditionalClaims>
        <Claim name="show">And now for something completely different.</Claim>
    </AdditionalClaims>
    <OutputVariable>jwt-variable</OutputVariable>
</GenerateJWT>

تنظیم عناصر کلیدی

عناصری که برای تعیین کلید مورد استفاده برای تولید JWT استفاده می کنید به الگوریتم انتخابی بستگی دارد، همانطور که در جدول زیر نشان داده شده است:

الگوریتم عناصر کلیدی
HS{256/384/512} * 
<SecretKey>
  <Value ref="private.secretkey"/>
  <Id>1918290</Id>
</SecretKey>
RS/PS/ES{256/384/512} * 
<PrivateKey>
  <Value ref="private.privatekey"/>
  <Password ref="private.privatekey-password"/>
  <Id ref="private.privatekey-id"/>
</PrivateKey>

عناصر <Password> و <Id> اختیاری هستند.

* برای اطلاعات بیشتر در مورد الزامات کلیدی، درباره الگوریتم‌های رمزگذاری امضا را ببینید.

مرجع عنصر برای Generate JWT

مرجع خط مشی عناصر و ویژگی های خط مشی Generate JWT را توصیف می کند.

توجه: پیکربندی بسته به الگوریتم رمزگذاری مورد استفاده شما تا حدودی متفاوت خواهد بود. برای نمونه هایی که پیکربندی ها را برای موارد استفاده خاص نشان می دهد، به نمونه ها مراجعه کنید.

ویژگی هایی که برای عنصر سطح بالا اعمال می شود 

<GenerateJWT name="JWT" continueOnError="false" enabled="true" async="false">

ویژگی های زیر برای همه عناصر اصلی خط مشی مشترک است.

صفت توضیحات پیش فرض حضور
نام نام داخلی سیاست. نویسه هایی که می توانید در نام استفاده کنید محدود به: A-Z0-9._\-$ % . با این حال، رابط کاربری مدیریت Edge محدودیت‌های بیشتری را اعمال می‌کند، مانند حذف خودکار کاراکترهایی که حروف عددی نیستند.

به صورت اختیاری، از عنصر <displayname></displayname> برای برچسب گذاری خط مشی در ویرایشگر پروکسی UI مدیریت با نامی به زبان طبیعی متفاوت استفاده کنید.

 N/A مورد نیاز
continueOnError برای بازگرداندن خطا در صورت شکست خط مشی، روی false تنظیم کنید. این رفتار مورد انتظار برای اکثر سیاست ها است.

روی true تنظیم کنید تا اجرای جریان حتی پس از شکست خط مشی ادامه یابد.

 نادرست اختیاری
فعال شد برای اجرای خط مشی روی true تنظیم کنید.

برای "خاموش کردن" خط مشی، روی false تنظیم کنید. این سیاست حتی اگر به یک جریان وابسته باشد اجرا نخواهد شد.

 درست است اختیاری
ناهمگام این ویژگی منسوخ شده است. نادرست منسوخ شده است

<DisplayName> 

<DisplayName>Policy Display Name</DisplayName>

علاوه بر ویژگی نام، برای برچسب‌گذاری خط‌مشی در ویرایشگر پروکسی رابط کاربری مدیریت با نامی متفاوت و به زبان طبیعی، از آن استفاده کنید.

پیش فرض اگر این عنصر را حذف کنید، از مقدار ویژگی نام خط مشی استفاده می شود.
حضور اختیاری
تایپ کنید رشته

<الگوریتم> 

<Algorithm>algorithm-here</Algorithm>

الگوریتم رمزگذاری را برای امضای توکن مشخص می کند.

پیش فرض N/A
حضور مورد نیاز
تایپ کنید رشته
مقادیر معتبر HS256, HS384, HS512, RS256, RS384, RS512, ES256, ES384, ES512, PS256, PS384, PS512

<مخاطب> 

<Audience>audience-here</Audience>

or:

<Audience ref='variable_containing_audience'/>

این خط‌مشی یک JWT ایجاد می‌کند که حاوی یک ادعای حسابرسی است که روی مقدار مشخص شده تنظیم شده است. این ادعا گیرندگانی را که JWT برای آنها در نظر گرفته شده است مشخص می کند. این یکی از ادعاهای ثبت شده در RFC7519 است.

پیش فرض N/A
حضور اختیاری
تایپ کنید آرایه (لیستی از مقادیر جدا شده با کاما)
مقادیر معتبر هر چیزی که مخاطب را شناسایی کند.

<AdditionalClaims/Claim> 

<AdditionalClaims>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
</AdditionalClaims>

or:

<AdditionalClaims ref='claim_payload'/>

به شما امکان می دهد جفت(های) نام/مقدار ادعای اضافی را در محموله JWT مشخص کنید. شما می توانید ادعا را به طور صریح به صورت رشته، عدد، بولی، نقشه یا آرایه مشخص کنید. نقشه به سادگی مجموعه ای از جفت نام/مقدار است.

پیش فرض N/A
حضور اختیاری
مقادیر معتبر هر مقداری که می خواهید برای ادعای اضافی استفاده کنید. شما می توانید ادعا را به طور صریح به صورت رشته، عدد، بولی، نقشه یا آرایه مشخص کنید.

عنصر <Claim> این ویژگی ها را می گیرد:

  • نام - (لازم) نام ادعا.
  • ref - (اختیاری) نام یک متغیر جریان. در صورت وجود، خط مشی از مقدار این متغیر به عنوان ادعا استفاده می کند. اگر هم یک ویژگی ref و هم مقدار ادعای صریح مشخص شده باشد، مقدار صریح پیش‌فرض است و اگر متغیر جریان ارجاع‌شده حل نشده باشد استفاده می‌شود.
  • نوع - (اختیاری) یکی از: رشته (پیش‌فرض)، عدد، بولی یا نقشه
  • آرایه - (اختیاری) برای نشان دادن اینکه آیا مقدار آرایه ای از انواع است، روی true تنظیم کنید. پیش فرض: نادرست.

وقتی عنصر <Claim> وارد می‌کنید، هنگام پیکربندی خط‌مشی، نام ادعاها به صورت ایستا تنظیم می‌شوند. همچنین، می‌توانید یک شی JSON را برای تعیین نام ادعا ارسال کنید. از آنجا که شی JSON به عنوان یک متغیر ارسال می شود، نام ادعا در JWT تولید شده در زمان اجرا تعیین می شود.

به عنوان مثال: 

<AdditionalClaims ref='json_claims'/>

جایی که متغیر json_claims حاوی یک شی JSON به شکل زیر است: 

{
  "sub" : "person@example.com",
  "iss" : "urn://secure-issuer@example.com",
  "non-registered-claim" : {
    "This-is-a-thing" : 817,
    "https://example.com/foobar" : { "p": 42, "q": false }
  }
}

JWT ایجاد شده شامل تمام ادعاهای موجود در شی JSON است.

<AdditionalHeaders/Claim> 

<AdditionalHeaders>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
    <Claim name='claim4' ref='variable-name' type='string' array='true'/>
 </AdditionalHeaders>

جفت(های) نام/مقدار ادعای اضافی را در سرصفحه JWT قرار می دهد.

پیش فرض N/A
حضور اختیاری
مقادیر معتبر هر مقداری که می خواهید برای ادعای اضافی استفاده کنید. شما می توانید ادعا را به طور صریح به صورت رشته، عدد، بولی، نقشه یا آرایه مشخص کنید.

عنصر <Claim> این ویژگی ها را می گیرد:

  • نام - (لازم) نام ادعا.
  • ref - (اختیاری) نام یک متغیر جریان. در صورت وجود، خط مشی از مقدار این متغیر به عنوان ادعا استفاده می کند. اگر هم یک ویژگی ref و هم مقدار ادعای صریح مشخص شده باشد، مقدار صریح پیش‌فرض است و اگر متغیر جریان ارجاع‌شده حل نشده باشد استفاده می‌شود.
  • نوع - (اختیاری) یکی از: رشته (پیش‌فرض)، عدد، بولی یا نقشه
  • آرایه - (اختیاری) برای نشان دادن اینکه آیا مقدار آرایه ای از انواع است، روی true تنظیم کنید. پیش فرض: نادرست.

<CriticalHeaders> 

<CriticalHeaders>a,b,c</CriticalHeaders>

or:

<CriticalHeaders ref=variable_containing_headers/>

هدر بحرانی، crit را به هدر JWT اضافه می کند. هدر crit آرایه ای از نام هدر است که باید توسط گیرنده JWT شناخته و شناسایی شود. به عنوان مثال: 

{
  “typ: “...”,
  “alg” : “...”,
  “crit” : [ “a”, “b”, “c” ],
}

در زمان اجرا، خط مشی VerifyJWT هدر crit را بررسی می کند. برای هر آیتم فهرست شده در هدر crit ، بررسی می کند که عنصر <KnownHeaders> سیاست VerifyJWT آن هدر را نیز فهرست کند. هر هدری که خط مشی VerifyJWT در crit پیدا کند و در <KnownHeaders> نیز فهرست نشده باشد، باعث شکست خط مشی VerifyJWT می شود.

پیش فرض N/A
حضور اختیاری
تایپ کنید آرایه رشته ها با کاما جدا شده است
مقادیر معتبر یک آرایه یا نام یک متغیر حاوی آرایه.

<CustomClaims>

توجه: در حال حاضر، وقتی یک خط‌مشی GenerateJWT جدید را از طریق UI اضافه می‌کنید، یک عنصر CustomClaims درج می‌شود. این عنصر کاربردی نیست و نادیده گرفته می شود. عنصر صحیح برای استفاده در عوض <AdditionalClaims> است. رابط کاربری برای درج عناصر صحیح در فرصتی دیگر به روز می شود.

<ExpiresIn> 

<ExpiresIn>time-value-here</ExpiresIn>

طول عمر JWT را بر حسب میلی ثانیه، ثانیه، دقیقه، ساعت یا روز مشخص می کند.

پیش فرض N/A
حضور اختیاری
تایپ کنید عدد صحیح
مقادیر معتبر

یک مقدار یا یک مرجع به یک متغیر جریان حاوی مقدار. واحدهای زمانی را می توان به صورت زیر مشخص کرد:

  • ms = میلی ثانیه (پیش فرض)
  • s = ثانیه
  • m = دقیقه
  • h = ساعت
  • d = روز

برای مثال، ExpiresIn = 10d معادل ExpiresIn 864000 است.

<Id> 

<Id>explicit-jti-value-here</Id>
 -or-
<Id ref='variable-name-here'/>
 -or-
<Id/>

یک JWT با ادعای jti خاص ایجاد می کند. وقتی مقدار متن و ویژگی ref هر دو خالی باشند، این خط مشی یک jti حاوی یک UUID تصادفی ایجاد می کند. ادعای JWT ID (jti) یک شناسه منحصر به فرد برای JWT است. برای اطلاعات بیشتر در مورد jti، به RFC7519 مراجعه کنید.

پیش فرض N/A
حضور اختیاری
تایپ کنید رشته یا مرجع.
مقادیر معتبر یک رشته یا نام یک متغیر جریان حاوی شناسه.

<IgnoreUnresolvedVariables> 

<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>

اگر می‌خواهید وقتی هر متغیر ارجاعی مشخص‌شده در خط‌مشی غیرقابل حل است، خط‌مشی خطایی ایجاد کند، روی false تنظیم کنید. مقدار true را تنظیم کنید تا هر متغیر غیرقابل حلی را به عنوان یک رشته خالی (تهی) در نظر بگیرید.

پیش فرض نادرست
حضور اختیاری
تایپ کنید بولی
مقادیر معتبر درست یا نادرست

<صادر کننده> 

<Issuer ref='variable-name-here'/>
<Issuer>issuer-string-here</Issuer>

این خط‌مشی یک JWT حاوی ادعایی با نام iss ایجاد می‌کند که مقدار آن روی مقدار مشخص شده تنظیم شده است. ادعایی که صادرکننده JWT را مشخص می کند. این یکی از مجموعه ادعاهای ثبت شده ذکر شده در RFC7519 است.

پیش فرض N/A
حضور اختیاری
تایپ کنید رشته یا مرجع
مقادیر معتبر هر

<NotBefore> 

<!-- Specify an absolute time. -->
<NotBefore>2017-08-14T11:00:21-07:00</NotBefore>
 -or-
<!-- Specify a time relative to when the token is generated. -->
<NotBefore>6h</NotBefore>

زمان معتبر شدن توکن را مشخص می کند. رمز تا زمان مشخص شده نامعتبر است. شما می توانید یک مقدار زمان مطلق یا زمانی نسبت به زمانی که توکن تولید می شود را مشخص کنید.

پیش فرض N/A
حضور اختیاری
تایپ کنید رشته
مقادیر معتبر زیر را ببینید.

مقادیر زمانی معتبر برای عنصر NotBefore برای مقادیر زمان مطلق

نام قالب مثال
قابل مرتب سازی yyyy-MM-dd'T'HH:mm:ss.SSSZ 2017-08-14T11:00:21.269-0700
RFC 1123 EEE, dd MMM yyyy HH:mm:ss zzz دوشنبه، 14 آگوست 2017، 11:00:21 PDT
RFC 850 EEEE, dd-MMM-yy HH:mm:ss zzz دوشنبه، 14-17 اوت، 11:00:21 PDT
ANCI-C EEE MMM d HH:mm:ss yyyy دوشنبه 14 اوت 11:00:21 2017

برای مقادیر زمانی نسبی، یک عدد صحیح و یک دوره زمانی را مشخص کنید، به عنوان مثال:

  • دهه 10
  • 60 متر
  • ساعت 12

<OutputVariable> 

<OutputVariable>jwt-variable</OutputVariable>

محل قرار دادن JWT تولید شده توسط این سیاست را مشخص می کند. به طور پیش فرض در متغیر جریان jwt. POLICYNAME .generated_jwt .

پیش فرض jwt. POLICYNAME .generated_jwt
حضور اختیاری
تایپ کنید رشته (نام متغیر جریان)

<PrivateKey/Id> 

<PrivateKey>
  <Id ref="flow-variable-name-here"/>
</PrivateKey>

or

<PrivateKey>
  <Id>your-id-value-here</Id>
</PrivateKey>

شناسه کلید (کودک) را برای درج در هدر JWT مشخص می کند. فقط زمانی استفاده کنید که الگوریتم یکی از RS256/RS384/RS512، PS256/PS384/PS512، یا ES256/ES384/ES512 باشد.

پیش فرض N/A
حضور اختیاری
تایپ کنید رشته
مقادیر معتبر یک متغیر جریان یا رشته

<PrivateKey/Password> 

<PrivateKey>
  <Password ref="private.privatekey-password"/>
</PrivateKey>

در صورت لزوم، رمز عبوری را که سیاست باید برای رمزگشایی کلید خصوصی استفاده کند، مشخص کنید. از ویژگی ref برای ارسال کلید در متغیر جریان استفاده کنید. فقط زمانی استفاده کنید که الگوریتم یکی از RS256/RS384/RS512، PS256/PS384/PS512، یا ES256/ES384/ES512 باشد.

پیش فرض N/A
حضور اختیاری
تایپ کنید رشته
مقادیر معتبر مرجع متغیر جریان

توجه: شما باید یک متغیر جریان را مشخص کنید. Edge پیکربندی خط مشی را که در آن رمز عبور در متن ساده مشخص شده است به عنوان نامعتبر رد می کند. متغیر جریان باید دارای پیشوند خصوصی باشد. برای مثال private.mypassword

<PrivateKey/Value> 

<PrivateKey>
  <Value ref="private.variable-name-here"/>
</PrivateKey>

یک کلید خصوصی رمزگذاری شده با PEM را مشخص می کند که برای امضای JWT استفاده می شود. از ویژگی ref برای ارسال کلید در متغیر جریان استفاده کنید. فقط زمانی استفاده کنید که الگوریتم یکی از RS256/RS384/RS512، PS256/PS384/PS512، یا ES256/ES384/ES512 باشد.

پیش فرض N/A
حضور برای تولید JWT با استفاده از الگوریتم RS256 مورد نیاز است.
تایپ کنید رشته
مقادیر معتبر یک متغیر جریان حاوی رشته ای که یک مقدار کلید خصوصی RSA با رمزگذاری PEM را نشان می دهد.

نکته: متغیر جریان باید دارای پیشوند خصوصی باشد. به عنوان مثال private.mykey

<SecretKey/Id> 

<SecretKey>
  <Id ref="flow-variable-name-here"/>
</SecretKey>

or

<SecretKey>
  <Id>your-id-value-here</Id>
</SecretKey>

شناسه کلید (کودک) را مشخص می کند تا در هدر JWT یک JWT امضا شده با الگوریتم HMAC گنجانده شود. فقط زمانی استفاده کنید که الگوریتم یکی از HS256/HS384/HS512 باشد.

پیش فرض N/A
حضور اختیاری
تایپ کنید رشته
مقادیر معتبر یک متغیر جریان یا رشته

<SecretKey/Value> 

<SecretKey>
  <Value ref="private.your-variable-name"/>
</SecretKey>

کلید مخفی مورد استفاده برای تأیید یا امضای نشانه ها با الگوریتم HMAC را ارائه می دهد. فقط زمانی استفاده کنید که الگوریتم یکی از HS256/HS384/HS512 باشد. از ویژگی ref برای ارسال کلید در متغیر جریان استفاده کنید.

Edge حداقل قدرت کلید را برای الگوریتم‌های HS256/HS384/HS512 اعمال می‌کند. حداقل طول کلید برای HS256 32 بایت، برای HS384 48 بایت و برای HS512 64 بایت است. استفاده از یک کلید با قدرت کمتر باعث خطای زمان اجرا می شود.

پیش فرض N/A
حضور برای الگوریتم های HMAC مورد نیاز است.
تایپ کنید رشته
مقادیر معتبر یک متغیر جریان که به یک رشته اشاره دارد

نکته: اگر یک متغیر جریان باشد، باید پیشوند "خصوصی" داشته باشد. مثلا private.mysecret

<موضوع> 

<Subject>subject-string-here</Subject>
 یا
<Subject ref="flow_variable" />

به عنوان مثال: 

<Subject ref="apigee.developer.email"/>

این خط‌مشی یک JWT حاوی یک ادعای فرعی را ایجاد می‌کند که روی مقدار مشخص شده تنظیم شده است. این ادعا موضوع JWT را شناسایی یا بیان می‌کند. این یکی از مجموعه استاندارد ادعاهای ذکر شده در RFC7519 است.

پیش فرض N/A
حضور اختیاری
تایپ کنید رشته
مقادیر معتبر هر مقداری که به طور منحصر به فرد یک موضوع یا یک متغیر جریان را که به یک مقدار اشاره می کند، شناسایی می کند.

متغیرهای جریان

خط مشی Generate JWT متغیرهای جریان را تنظیم نمی کند.

مرجع خطا

این بخش کدهای خطا و پیام‌های خطایی را که برگردانده می‌شوند و متغیرهای خطا را که توسط Edge تنظیم می‌شوند، هنگامی که این خط‌مشی خطا را راه‌اندازی می‌کند، توضیح می‌دهد. این اطلاعات برای دانستن اینکه آیا در حال توسعه قوانین خطا برای رسیدگی به خطاها هستید، مهم است. برای کسب اطلاعات بیشتر، آنچه را که باید در مورد خطاهای خط مشی و مدیریت خطاها بدانید را ببینید.

خطاهای زمان اجرا

این خطاها ممکن است هنگام اجرای سیاست رخ دهند.

کد خطا وضعیت HTTP زمانی رخ می دهد
steps.jwt.AlgorithmInTokenNotPresentInConfiguration 401 زمانی رخ می دهد که خط مشی تأیید چندین الگوریتم داشته باشد.
steps.jwt.AlgorithmMismatch 401 الگوریتم مشخص‌شده در خط‌مشی Generate با الگوریتم مورد انتظار در خط‌مشی تأیید مطابقت نداشت. الگوریتم های مشخص شده باید مطابقت داشته باشند.
steps.jwt.FailedToDecode 401 این خط مشی قادر به رمزگشایی JWT نبود. JWT احتمالاً خراب است.
steps.jwt.GenerationFailed 401 این سیاست قادر به ایجاد JWT نبود.
steps.jwt.InsufficientKeyLength 401 برای یک کلید کمتر از 32 بایت برای الگوریتم HS256، کمتر از 48 بایت برای الگوریتم HS386، و کمتر از 64 بایت برای الگوریتم HS512.
steps.jwt.InvalidClaim 401 برای ادعای مفقود یا عدم تطابق ادعا، یا عدم تطابق سرصفحه یا سرصفحه.
steps.jwt.InvalidCurve 401 منحنی مشخص شده توسط کلید برای الگوریتم منحنی بیضی معتبر نیست.
steps.jwt.InvalidJsonFormat 401 JSON نامعتبر در سرصفحه یا محموله یافت شد.
steps.jwt.InvalidToken 401 این خطا زمانی رخ می دهد که تأیید امضای JWT ناموفق باشد.
steps.jwt.JwtAudienceMismatch 401 ادعای مخاطب در راستی‌آزمایی رمز شکست خورد.
steps.jwt.JwtIssuerMismatch 401 ادعای صادرکننده در تأیید توکن ناموفق بود.
steps.jwt.JwtSubjectMismatch 401 ادعای موضوع در تأیید رمز شکست خورد.
steps.jwt.KeyIdMissing 401 خط‌مشی تأیید از یک JWKS به عنوان منبع کلیدهای عمومی استفاده می‌کند، اما JWT امضاشده دارای ویژگی kid در سرصفحه نیست.
steps.jwt.KeyParsingFailed 401 کلید عمومی از اطلاعات کلید داده شده قابل تجزیه نیست.
steps.jwt.NoAlgorithmFoundInHeader 401 زمانی اتفاق می‌افتد که JWT فاقد سربرگ الگوریتم باشد.
steps.jwt.NoMatchingPublicKey 401 خط‌مشی تأیید از یک JWKS به عنوان منبع کلیدهای عمومی استفاده می‌کند، اما kid در JWT امضا شده در JWKS فهرست نشده است.
steps.jwt.SigningFailed 401 در GenerateJWT، برای کلیدی کمتر از حداقل اندازه الگوریتم‌های HS384 یا HS512
steps.jwt.TokenExpired 401 این خط‌مشی تلاش می‌کند یک توکن منقضی شده را تأیید کند.
steps.jwt.TokenNotYetValid 401 رمز هنوز معتبر نیست.
steps.jwt.UnhandledCriticalHeader 401 سرصفحه ای که توسط خط مشی Verify JWT در سرصفحه crit یافت شده است در KnownHeaders فهرست نشده است.
steps.jwt.UnknownException 401 یک استثنا ناشناخته رخ داد.
steps.jwt.WrongKeyType 401 نوع کلید اشتباه مشخص شده است. به عنوان مثال، اگر یک کلید RSA برای یک الگوریتم منحنی بیضی یا یک کلید منحنی برای یک الگوریتم RSA مشخص کنید.

خطاهای استقرار

این خطاها ممکن است زمانی رخ دهند که یک پروکسی حاوی این خط مشی را مستقر می کنید.

نام خطا علت ثابت
InvalidNameForAdditionalClaim اگر ادعای مورد استفاده در عنصر فرزند <Claim> عنصر <AdditionalClaims> یکی از نام‌های ثبت‌شده زیر باشد، استقرار ناموفق خواهد بود: kid ، iss ، sub ، aud ، iat ، exp ، nbf ، یا jti .
InvalidTypeForAdditionalClaim اگر ادعای استفاده شده در عنصر فرزند <Claim> عنصر <AdditionalClaims> از نوع string ، number ، boolean یا map نباشد، استقرار با شکست مواجه خواهد شد.
MissingNameForAdditionalClaim اگر نام ادعا در عنصر فرزند <Claim> عنصر <AdditionalClaims> مشخص نشده باشد، استقرار با شکست مواجه خواهد شد.
InvalidNameForAdditionalHeader این خطا زمانی رخ می دهد که نام ادعای مورد استفاده در عنصر فرزند <Claim> عنصر <AdditionalClaims> alg یا typ باشد.
InvalidTypeForAdditionalHeader اگر نوع ادعای استفاده شده در عنصر فرزند <Claim> عنصر <AdditionalClaims> از نوع string ، number ، boolean یا map نباشد، استقرار با شکست مواجه خواهد شد.
InvalidValueOfArrayAttribute این خطا زمانی رخ می دهد که مقدار ویژگی آرایه در عنصر فرزند <Claim> عنصر <AdditionalClaims> روی true یا false تنظیم نشده باشد.
InvalidConfigurationForActionAndAlgorithm اگر عنصر <PrivateKey> با الگوریتم های خانواده HS یا عنصر <SecretKey> با الگوریتم های خانواده RSA استفاده شود، استقرار با شکست مواجه می شود.
InvalidValueForElement اگر مقدار مشخص شده در عنصر <Algorithm> یک مقدار پشتیبانی نشده باشد، استقرار با شکست مواجه خواهد شد.
MissingConfigurationElement اگر عنصر <PrivateKey> با الگوریتم های خانواده RSA استفاده نشود یا عنصر <SecretKey> با الگوریتم های خانواده HS استفاده نشود، این خطا رخ می دهد.
InvalidKeyConfiguration اگر عنصر فرزند <Value> در عناصر <PrivateKey> یا <SecretKey> تعریف نشده باشد، استقرار با شکست مواجه خواهد شد.
EmptyElementForKeyConfiguration اگر ویژگی ref عنصر فرزند <Value> از عناصر <PrivateKey> یا <SecretKey> خالی یا نامشخص باشد، استقرار با شکست مواجه خواهد شد.
InvalidVariableNameForSecret این خطا در صورتی رخ می دهد که نام متغیر جریان مشخص شده در ویژگی ref عنصر فرزند <Value> از عناصر <PrivateKey> یا <SecretKey> دارای پیشوند خصوصی (private.) نباشد.
InvalidSecretInConfig اگر عنصر فرزند <Value> عناصر <PrivateKey> یا <SecretKey> دارای پیشوند خصوصی (private.) نباشد، این خطا رخ می دهد.
InvalidTimeFormat اگر مقدار مشخص شده در عنصر <NotBefore> از قالب پشتیبانی شده استفاده نکند، استقرار با شکست مواجه خواهد شد.

متغیرهای خطا

این متغیرها زمانی تنظیم می شوند که یک خطای زمان اجرا رخ دهد. برای اطلاعات بیشتر، به آنچه باید در مورد خطاهای خط مشی بدانید مراجعه کنید.

متغیرها کجا مثال
fault.name=" fault_name " fault_name نام خطا است، همانطور که در جدول خطاهای Runtime در بالا ذکر شده است. نام خطا آخرین قسمت کد خطا است. fault.name Matches "TokenExpired"
JWT.failed همه خط مشی های JWT متغیرهای یکسانی را در صورت خرابی تنظیم می کنند. JWT.failed = true

نمونه پاسخ خطا

کدهای خطای خط مشی JWT

برای رسیدگی به خطا، بهترین روش به دام انداختن قسمت errorcode در پاسخ به خطا است. به متن موجود در faultstring تکیه نکنید، زیرا ممکن است تغییر کند.

مثال قانون خطا 

    <FaultRules>
        <FaultRule name="JWT Policy Errors">
            <Step>
                <Name>JavaScript-1</Name>
                <Condition>(fault.name Matches "TokenExpired")</Condition>
            </Step>
            <Condition>JWT.failed=true</Condition>
        </FaultRule>
    </FaultRules>