आपको Apigee Edge दस्तावेज़ दिख रहा है.
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है
इस पेज पर जाएं
Apigee X दस्तावेज़. जानकारी
क्या
यह हस्ताक्षर किया गया JWT जनरेट करता है. इसमें, कॉन्फ़िगर किए जा सकने वाले दावों का सेट शामिल होता है. इसके बाद, JWT को क्लाइंट, बैकएंड टारगेट पर ट्रांसमिट किए गए हों या दूसरे तरीकों से इस्तेमाल किए गए हों. ज़्यादा जानकारी के लिए, JWS और JWT की नीतियों के बारे में खास जानकारी देखें.
वीडियो
हस्ताक्षर किया गया JWT जनरेट करने का तरीका जानने के लिए, यह छोटा सा वीडियो देखें.
सैंपल
- जनरेटिव एआई की मदद से साइन इन करने के लिए, HS256 एल्गोरिदम
- जनरेटिव एआई की मदद से साइन इन करने के लिए, RS256 एल्गोरिदम
HS256 का इस्तेमाल करके साइन किया गया JWT जनरेट करें एल्गोरिदम
यह उदाहरण नीति एक नया JWT जनरेट करती है और इसे HS256 एल्गोरिदम का इस्तेमाल करके साइन करती है. HS256 निर्भर करता है पर हस्ताक्षर और पुष्टि करने के लिए किया जाता है.
जब नीति से जुड़ी यह कार्रवाई ट्रिगर होती है, तब Edge, JWT हेडर और पेलोड को कोड में बदल देता है. इसके बाद, इसे डिजिटल तरीके से कोड में बदला जाता है JWT पर हस्ताक्षर करता है. पूरा उदाहरण देखने के लिए ऊपर दिया गया वीडियो देखें. इसमें नीति के लिए अनुरोध करने का तरीका भी बताया गया है.
यहां दिया गया नीति कॉन्फ़िगरेशन, स्टैंडर्ड दावों के एक सेट के साथ एक JWT बनाएगा, जैसा कि JWT के स्पेसिफ़िकेशन, जिनमें एक घंटे की समयसीमा शामिल है. साथ ही, एक अतिरिक्त दावा भी शामिल होगा. आप आपके पास जितने चाहें उतने अतिरिक्त दावे शामिल करने होंगे. ज़्यादा जानकारी के लिए, एलिमेंट का रेफ़रंस देखें इस नमूना नीति में दिए गए हर एलिमेंट की ज़रूरी शर्तों और विकल्पों के बारे में ज़्यादा जानें.
<GenerateJWT name="JWT-Generate-HS256"> <DisplayName>JWT Generate HS256</DisplayName> <Algorithm>HS256</Algorithm> <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables> <SecretKey> <Value ref="private.secretkey"/> <Id>1918290</Id> </SecretKey> <ExpiresIn>1h</ExpiresIn> <Subject>monty-pythons-flying-circus</Subject> <Issuer>urn://apigee-edge-JWT-policy-test</Issuer> <Audience>fans</Audience> <Id/> <AdditionalClaims> <Claim name="show">And now for something completely different.</Claim> </AdditionalClaims> <OutputVariable>jwt-variable</OutputVariable> </GenerateJWT>
नतीजे के तौर पर मिलने वाले JWT का हेडर होगा ...
{
"typ" : "JWT",
"alg" : "HS256",
"kid" : "1918290"
}... और इसमें कुछ इस तरह की सामग्री वाला पेलोड होगा:
{
"sub" : "monty-pythons-flying-circus",
"iss" : "urn://apigee-edge-JWT-policy-test",
"aud" : "show",
"iat" : 1506553019,
"exp" : 1506556619,
"jti" : "BD1FF263-3D25-4593-A685-5EC1326E1F37",
"show": "And now for something completely different."
}iat, exp, और jti दावों की वैल्यू अलग-अलग होंगे.
RS256 की मदद से साइन किया गया JWT जनरेट करें एल्गोरिदम
उदाहरण के तौर पर दी गई यह नीति, एक नया JWT जनरेट करती है और इसे RS256 एल्गोरिदम का इस्तेमाल करके साइन करती है. जनरेट हो रहा है RS256 सिग्नेचर, आरएसए प्राइवेट पासकोड पर निर्भर करता है, जिसे PEM कोड में बदले गए फ़ॉर्म में दिया जाना चाहिए. पूरा उदाहरण देखने के लिए ऊपर दिया गया वीडियो देखें. इसमें नीति के लिए अनुरोध करने का तरीका भी बताया गया है.
जब नीति से जुड़ी यह कार्रवाई ट्रिगर होती है, तब Edge, JWT को कोड में बदल देता है और डिजिटल रूप से साइन करता है. इसमें दावे भी शामिल होते हैं. JWT के हिस्सों के बारे में जानने और उन्हें एन्क्रिप्ट करने और हस्ताक्षर करने का तरीका जानने के लिए, RFC7519 पर जाएं.
<GenerateJWT name="JWT-Generate-RS256"> <Algorithm>RS256</Algorithm> <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables> <PrivateKey> <Value ref="private.privatekey"/> <Password ref="private.privatekey-password"/> <Id ref="private.privatekey-id"/> </PrivateKey> <Subject>apigee-seattle-hatrack-montage</Subject> <Issuer>urn://apigee-edge-JWT-policy-test</Issuer> <Audience>urn://c60511c0-12a2-473c-80fd-42528eb65a6a</Audience> <ExpiresIn>60m</ExpiresIn> <Id/> <AdditionalClaims> <Claim name="show">And now for something completely different.</Claim> </AdditionalClaims> <OutputVariable>jwt-variable</OutputVariable> </GenerateJWT>
मुख्य एलिमेंट सेट करना
JWT जनरेट करने के लिए इस्तेमाल होने वाली कुंजी तय करने के लिए जिन एलिमेंट का इस्तेमाल किया जाता है वे आपके चुने गए एल्गोरिदम पर निर्भर करते हैं, जैसा कि नीचे दी गई टेबल में दिखाया गया है:
| एल्गोरिदम | खास एलिमेंट | |
|---|---|---|
| एचएस{256/384/512}* | <SecretKey> <Value ref="private.secretkey"/> <Id>1918290</Id> </SecretKey> |
|
| RS/PS/ES{256/384/512}* | <PrivateKey> <Value ref="private.privatekey"/> <Password ref="private.privatekey-password"/> <Id ref="private.privatekey-id"/> </PrivateKey>
|
|
| *मुख्य शर्तों के बारे में ज़्यादा जानने के लिए, यहां जाएं हस्ताक्षर एन्क्रिप्ट करने के एल्गोरिदम के बारे में जानकारी. | ||
JWT जनरेट करने के लिए एलिमेंट रेफ़रंस
पॉलिसी रेफ़रंस में, JWT जनरेट करने की नीति के एलिमेंट और एट्रिब्यूट के बारे में बताया गया है.
ध्यान दें: एन्क्रिप्ट (सुरक्षित) करने के तरीके के हिसाब से कॉन्फ़िगरेशन कुछ हद तक अलग होगा एल्गोरिदम का इस्तेमाल किया जाता है. यह दिखाने वाले उदाहरण देखने के लिए, सैंपल देखें कॉन्फ़िगरेशन.
ऐसे एट्रिब्यूट जो टॉप-लेवल एलिमेंट पर लागू करें
<GenerateJWT name="JWT" continueOnError="false" enabled="true" async="false">
ये एट्रिब्यूट, नीति के सभी पैरंट एलिमेंट में एक जैसे होते हैं.
| एट्रिब्यूट | जानकारी | डिफ़ॉल्ट | मौजूदगी |
|---|---|---|---|
| नाम |
नीति का अंदरूनी नाम. नाम में इस्तेमाल किए जा सकने वाले वर्ण इन तक सीमित हैं:
A-Z0-9._\-$ %. हालांकि, Edge मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) की मदद से
पाबंदियां, जैसे कि अक्षर और अंक के अलावा किसी और वर्ण को अपने-आप हटाना.
विकल्प के तौर पर, |
लागू नहीं | ज़रूरी है |
| continueOnError |
किसी नीति के काम न करने पर, गड़बड़ी दिखाने के लिए false पर सेट करें. यह उम्मीद है
व्यवहार की जानकारी देने वाला डेटा.
नीति के लागू होने के बाद भी फ़्लो को एक्ज़ीक्यूट करने के लिए, इसे |
गलत | वैकल्पिक |
| चालू किया गया |
नीति को लागू करने के लिए, true पर सेट करें.
|
सही | वैकल्पिक |
| एक साथ काम नहीं करने वाली प्रोसेस | यह एट्रिब्यूट अब काम नहीं करता. | गलत | बहिष्कृत |
<DisplayName>
<DisplayName>Policy Display Name</DisplayName>
मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) प्रॉक्सी एडिटर में नीति को लेबल करने के लिए, नाम एट्रिब्यूट के अलावा इस्तेमाल करें पर क्लिक करें.
| डिफ़ॉल्ट | अगर इस एलिमेंट को छोड़ा जाता है, तो नीति के नाम वाले एट्रिब्यूट की वैल्यू का इस्तेमाल किया जाता है. |
| मौजूदगी | वैकल्पिक |
| स्ट्रीम किस तरह की है | स्ट्रिंग |
<Algorithm>
<Algorithm>algorithm-here</Algorithm>
इस नीति से, टोकन पर हस्ताक्षर करने के लिए, एन्क्रिप्ट (सुरक्षित) करने का एल्गोरिदम तय किया जाता है.
| डिफ़ॉल्ट | लागू नहीं |
| मौजूदगी | ज़रूरी है |
| स्ट्रीम किस तरह की है | स्ट्रिंग |
| मान्य वैल्यू | एचएस256, एचएस384, एचएस512, आरएस256, आरएस384, आरएस512, ES256, ES384, ES512, PS256, PS384, PS512 |
<Audience>
<Audience>audience-here</Audience> or: <Audience ref='variable_containing_audience'/>
यह नीति, JWT जनरेट करती है. इसमें, बताई गई कैटगरी में ऑडी दावा सेट होता है वैल्यू. यह दावा उन लोगों की पहचान करता है जिनके लिए JWT लिखा गया है. यह इनमें से एक है RFC7519 में बताए गए रजिस्टर्ड दावे.
| डिफ़ॉल्ट | लागू नहीं |
| मौजूदगी | वैकल्पिक |
| स्ट्रीम किस तरह की है | अरे (कॉमा लगाकर अलग की गई वैल्यू की सूची) |
| मान्य वैल्यू | ऑडियंस की पहचान से जुड़ी कोई भी जानकारी. |
<AdditionalClaims/Claim>
<AdditionalClaims> <Claim name='claim1'>explicit-value-of-claim-here</Claim> <Claim name='claim2' ref='variable-name-here'/> <Claim name='claim3' ref='variable-name-here' type='boolean'/> </AdditionalClaims> or: <AdditionalClaims ref='claim_payload'/>
इससे आपको JWT के पेलोड में, दावे का अतिरिक्त नाम/वैल्यू पेयर तय करने की सुविधा मिलती है. यह तय किया जा सकता है कि साफ़ तौर पर स्ट्रिंग, संख्या, बूलियन, मैप या अरे के तौर पर दावा किया जा सकता है. मैप सिर्फ़ नाम/वैल्यू का सेट होता है पेयर.
| डिफ़ॉल्ट | लागू नहीं |
| मौजूदगी | वैकल्पिक |
| मान्य वैल्यू | कोई भी वैल्यू, जिसका इस्तेमाल आपको दूसरे दावे के लिए करना है. यह तय किया जा सकता है कि साफ़ तौर पर स्ट्रिंग, संख्या, बूलियन, मैप या अरे के तौर पर दावा किया जा सकता है. |
<Claim> एलिमेंट में ये एट्रिब्यूट इस्तेमाल किए जाते हैं:
- name - (ज़रूरी है) दावे का नाम.
- ref - (ज़रूरी नहीं) फ़्लो वैरिएबल का नाम. अगर यह वैल्यू मौजूद है, तो नीति इस वैल्यू का इस्तेमाल करेगी दावे के तौर पर इस्तेमाल किया जा सकता है. अगर ref एट्रिब्यूट और किसी साफ़ दावे की वैल्यू, दोनों के बारे में बताया गया है, तो एक्सप्लिसिट वैल्यू डिफ़ॉल्ट होती है. इसका इस्तेमाल तब किया जाता है, जब रेफ़रंस फ़्लो वैरिएबल से समस्या हल न हो.
- type - (ज़रूरी नहीं) इनमें से कोई एक: स्ट्रिंग (डिफ़ॉल्ट), संख्या, बूलियन या मैप
- array - (ज़रूरी नहीं) वैल्यू, अलग-अलग तरह के कलेक्शन के तौर पर है या नहीं, यह बताने के लिए true पर सेट करें. डिफ़ॉल्ट: गलत.
<Claim> एलिमेंट शामिल करने पर, दावों के नाम स्टैटिक रूप से सेट होते हैं. ऐसा तब होता है, जब
नीति को कॉन्फ़िगर करें. इसके अलावा, दावों के नाम बताने के लिए, JSON ऑब्जेक्ट पास किया जा सकता है.
JSON ऑब्जेक्ट को वैरिएबल के तौर पर पास किया जाता है, इसलिए जनरेट किए गए JWT में दावे के नाम रनटाइम के दौरान तय किए जाते हैं.
उदाहरण के लिए:
<AdditionalClaims ref='json_claims'/>
जहां वैरिएबल json_claims में फ़ॉर्म में JSON ऑब्जेक्ट होता है:
{ "sub" : "person@example.com", "iss" : "urn://secure-issuer@example.com", "non-registered-claim" : { "This-is-a-thing" : 817, "https://example.com/foobar" : { "p": 42, "q": false } } }
जनरेट किए गए JWT में JSON ऑब्जेक्ट के सभी दावे शामिल होते हैं.
<AdditionalHeaders/Claim>
<AdditionalHeaders> <Claim name='claim1'>explicit-value-of-claim-here</Claim> <Claim name='claim2' ref='variable-name-here'/> <Claim name='claim3' ref='variable-name-here' type='boolean'/> <Claim name='claim4' ref='variable-name' type='string' array='true'/> </AdditionalHeaders>
JWT के लिए हेडर में अतिरिक्त दावा नाम/वैल्यू पेयर डालता है.
| डिफ़ॉल्ट | लागू नहीं |
| मौजूदगी | वैकल्पिक |
| मान्य वैल्यू | कोई भी वैल्यू, जिसका इस्तेमाल आपको दूसरे दावे के लिए करना है. यह तय किया जा सकता है कि साफ़ तौर पर स्ट्रिंग, संख्या, बूलियन, मैप या अरे के तौर पर दावा किया जा सकता है. |
<Claim> एलिमेंट में ये एट्रिब्यूट इस्तेमाल किए जाते हैं:
- name - (ज़रूरी है) दावे का नाम.
- ref - (ज़रूरी नहीं) फ़्लो वैरिएबल का नाम. अगर यह वैल्यू मौजूद है, तो नीति इस वैल्यू का इस्तेमाल करेगी दावे के तौर पर इस्तेमाल किया जा सकता है. अगर ref एट्रिब्यूट और किसी साफ़ दावे की वैल्यू, दोनों के बारे में बताया गया है, तो एक्सप्लिसिट वैल्यू डिफ़ॉल्ट होती है. इसका इस्तेमाल तब किया जाता है, जब रेफ़रंस फ़्लो वैरिएबल से समस्या हल न हो.
- type - (ज़रूरी नहीं) इनमें से कोई एक: स्ट्रिंग (डिफ़ॉल्ट), संख्या, बूलियन या मैप
- array - (ज़रूरी नहीं) true पर सेट करके बताएं कि वैल्यू, अलग-अलग टाइप के कलेक्शन में से एक है या नहीं. डिफ़ॉल्ट: गलत.
<CriticalHeaders>
<CriticalHeaders>a,b,c</CriticalHeaders> or: <CriticalHeaders ref=’variable_containing_headers’/>
JWT हेडर में ज़रूरी हेडर, crit जोड़ता है. crit हेडर हेडर नामों का एक कलेक्शन होता है, जिसे JWT रिसीवर को जाना और पहचाना जाना चाहिए. उदाहरण के लिए:
{
“typ: “...”,
“alg” : “...”,
“crit” : [ “a”, “b”, “c” ],
}रनटाइम के दौरान, VerifyJWT नीति crit हेडर की जांच करती है.
crit हेडर में लिस्ट किए गए हर आइटम के लिए, यह जांच करता है कि <KnownHeaders> एलिमेंट
VerifyJWT नीति के तहत यह हेडर भी शामिल होता है. ऐसा कोई भी हेडर जो VerifyJWT नीति को crit में मिलता है
जिसकी जानकारी <KnownHeaders> में भी नहीं दी गई है उसकी वजह से VerifyJWT नीति काम नहीं कर पाती है.
| डिफ़ॉल्ट | लागू नहीं |
| मौजूदगी | वैकल्पिक |
| स्ट्रीम किस तरह की है | कॉमा से अलग की गई स्ट्रिंग का अरे |
| मान्य वैल्यू | कोई अरे या अरे वाले वैरिएबल का नाम. |
<CustomClaims>
ध्यान दें: फ़िलहाल, जब कोई नया कस्टम दावा जोड़ा जाता है, तो एक कस्टम दावे वाला एलिमेंट डाला जाता है यूज़र इंटरफ़ेस (यूआई) की मदद से, JWT नीति जनरेट करें. यह एलिमेंट काम नहीं कर रहा है और इसे अनदेखा कर दिया गया है. सही जवाब इसके बजाय <AdditionalClaims> एलिमेंट का इस्तेमाल किया जाएगा. यूज़र इंटरफ़ेस (यूआई) ये काम करेगा इसे अपडेट किया जाएगा, ताकि बाद में सही एलिमेंट शामिल किए जा सकें.
<ExpiresIn>
<ExpiresIn>time-value-here</ExpiresIn>
मिलीसेकंड, सेकंड, मिनट, घंटे या दिनों में JWT के पूरा होने की जानकारी देता है.
| डिफ़ॉल्ट | N/A |
| मौजूदगी | वैकल्पिक |
| स्ट्रीम किस तरह की है | पूर्णांक |
| मान्य वैल्यू |
कोई वैल्यू या ऐसे फ़्लो वैरिएबल का रेफ़रंस जिसमें वैल्यू मौजूद होती है. समय की इकाइयां नीचे बताए गए तरीके से बताया गया है:
उदाहरण के लिए, |
<Id>
<Id>explicit-jti-value-here</Id> -or- <Id ref='variable-name-here'/> -or- <Id/>
किसी खास जेटीआई दावे के साथ जेडब्ल्यूटी जनरेट करता है. जब टेक्स्ट वैल्यू और रेफ़रंस एट्रिब्यूट, दोनों खाली होने पर, नीति एक रैंडम यूयूआईडी वाली जेटीआई जनरेट करेगी. JWT आईडी (jti) दावा JWT के लिए यूनीक आइडेंटिफ़ायर. जेटीआई के बारे में ज़्यादा जानकारी के लिए, RFC7519 देखें.
| डिफ़ॉल्ट | लागू नहीं |
| मौजूदगी | वैकल्पिक |
| स्ट्रीम किस तरह की है | स्ट्रिंग या रेफ़रंस. |
| मान्य वैल्यू | एक स्ट्रिंग या आईडी वाले फ़्लो वैरिएबल का नाम. |
<IgnoreUnresolvedVariables>
<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>
अगर आपको किसी रेफ़रंस वैरिएबल के बताए जाने पर, नीति से गड़बड़ी की सूचना देनी है, तो 'गलत' पर सेट करें हल नहीं किया जा सकता. किसी भी रिज़ॉल्व नहीं किए जा सकने वाले वैरिएबल को खाली स्ट्रिंग के तौर पर ट्रीट करने के लिए, 'सही' पर सेट करें (शून्य).
| डिफ़ॉल्ट | गलत |
| मौजूदगी | वैकल्पिक |
| स्ट्रीम किस तरह की है | बूलियन |
| मान्य वैल्यू | सही या गलत |
<Issuer>
<Issuer ref='variable-name-here'/> <Issuer>issuer-string-here</Issuer>
यह नीति एक JWT जनरेट करती है,जिसमें वैल्यू सेट के साथ iss नाम वाला दावा होता है वैल्यू डालें. ऐसा दावा जिससे JWT जारी करने वाले की पहचान की जाती है. यह इनमें से एक है RFC7519 में बताए गए, रजिस्टर किए गए दावों का सेट.
| डिफ़ॉल्ट | लागू नहीं |
| मौजूदगी | वैकल्पिक |
| स्ट्रीम किस तरह की है | स्ट्रिंग या रेफ़रंस |
| मान्य वैल्यू | कोई भी |
<NotBefore>
<!-- Specify an absolute time. --> <NotBefore>2017-08-14T11:00:21-07:00</NotBefore> -or- <!-- Specify a time relative to when the token is generated. --> <NotBefore>6h</NotBefore>
टोकन के मान्य होने के समय के बारे में बताता है. तय किए गए समय तक, टोकन अमान्य रहेगा. आपके पास टोकन के जनरेट होने के समय की कुल वैल्यू या उसके हिसाब से समय की जानकारी देने का विकल्प होता है.
| डिफ़ॉल्ट | लागू नहीं |
| मौजूदगी | वैकल्पिक |
| स्ट्रीम किस तरह की है | स्ट्रिंग |
| मान्य वैल्यू | नीचे देखें. |
कुल समय की वैल्यू के लिए, Not मानक एलिमेंट के लिए समय की मान्य वैल्यू
| नाम | फ़ॉर्मैट | उदाहरण |
| क्रम से लगाया जा सकता है | yyyy-MM-dd'T'HH:mm:ss.SSSZ |
2017-08-14T11:00:21.269-0700 |
| आरएफ़सी 1123 | EEE, dd MMM yyyy HH:mm:ss zzz |
सोमवार, 14 अगस्त 2017 11:00:21 PDT |
| आरएफ़सी 850 | EEEE, dd-MMM-yy HH:mm:ss zzz |
सोमवार, 14 अगस्त से 17 अगस्त, 11:00:21 पीडीटी |
| ANCI-C | EEE MMM d HH:mm:ss yyyy |
सोमवार 14 अगस्त 11:00:21, 2017 |
मिलती-जुलती समय की वैल्यू के लिए, एक पूर्णांक और समयावधि बताएं. जैसे:
- 10 सेकंड
- 60 मिनट
- 12 घं॰
<OutputVariable>
<OutputVariable>jwt-variable</OutputVariable>
इससे पता चलता है कि इस नीति से जनरेट किए गए JWT को कहां रखा जाएगा. डिफ़ॉल्ट रूप से इसे
फ़्लो वैरिएबल jwt.POLICYNAME.generated_jwt.
| डिफ़ॉल्ट | jwt.POLICYNAME.generated_jwt |
| मौजूदगी | वैकल्पिक |
| स्ट्रीम किस तरह की है | स्ट्रिंग (फ़्लो वैरिएबल का नाम) |
<PrivateKey/Id>
<PrivateKey> <Id ref="flow-variable-name-here"/> </PrivateKey> or <PrivateKey> <Id>your-id-value-here</Id> </PrivateKey>
यह जेडब्लयूटी हेडर में शामिल करने के लिए कुंजी आईडी (बच्चा) बताता है. सिर्फ़ इस्तेमाल के लिए जब एल्गोरिदम RS256/RS384/RS512, PS256/PS384/PS512 या ES256/ES384/ES512 में से कोई एक हो.
| डिफ़ॉल्ट | लागू नहीं |
| मौजूदगी | वैकल्पिक |
| स्ट्रीम किस तरह की है | स्ट्रिंग |
| मान्य वैल्यू | फ़्लो वैरिएबल या स्ट्रिंग |
<PrivateKey/Password>
<PrivateKey> <Password ref="private.privatekey-password"/> </PrivateKey>
अगर ज़रूरी हो, तो वह पासवर्ड बताएं जिसका इस्तेमाल नीति को निजी पासकोड को डिक्रिप्ट करने के लिए करना चाहिए. इसका इस्तेमाल करें ref एट्रिब्यूट का इस्तेमाल करें. सिर्फ़ इस्तेमाल के लिए जब एल्गोरिदम RS256/RS384/RS512, PS256/PS384/PS512 या ES256/ES384/ES512 में से कोई एक हो.
| डिफ़ॉल्ट | लागू नहीं |
| मौजूदगी | वैकल्पिक |
| स्ट्रीम किस तरह की है | स्ट्रिंग |
| मान्य वैल्यू |
फ़्लो वैरिएबल का रेफ़रंस.
ध्यान दें: आपको एक फ़्लो वैरिएबल तय करना होगा. Edge अमान्य के तौर पर अस्वीकार हो जाएगा
नीति का कॉन्फ़िगरेशन, जिसमें पासवर्ड को सादे टेक्स्ट में दिखाया गया है. फ़्लो वैरिएबल
"निजी" प्रीफ़िक्स होना चाहिए. उदाहरण के लिए, |
<PrivateKey/Value>
<PrivateKey> <Value ref="private.variable-name-here"/> </PrivateKey>
इस नीति से, PEM कोड में बदली गई निजी कुंजी के बारे में पता चलता है, जिसका इस्तेमाल JWT को साइन करने के लिए किया जाता है. इस वाक्य को पास करने के लिए, कुंजी सेट करें. सिर्फ़ तब इस्तेमाल करें, जब एल्गोरिदम RS256/RS384/RS512 में से कोई एक हो, PS256/PS384/PS512 या ES256/ES384/ES512.
| डिफ़ॉल्ट | लागू नहीं |
| मौजूदगी | RS256 एल्गोरिदम की मदद से JWT जनरेट करना ज़रूरी है. |
| स्ट्रीम किस तरह की है | स्ट्रिंग |
| मान्य वैल्यू |
ऐसा फ़्लो वैरिएबल जिसमें PEM कोड में बदली गई आरएसए निजी कुंजी की वैल्यू दिखाने वाली स्ट्रिंग होती है.
ध्यान दें: फ़्लो वैरिएबल का प्रीफ़िक्स "निजी" होना चाहिए. उदाहरण के लिए,
|
<SecretKey/Id>
<SecretKey> <Id ref="flow-variable-name-here"/> </SecretKey> or <SecretKey> <Id>your-id-value-here</Id> </SecretKey>
यह नीति एचएमएसी से साइन किए गए JWT के हेडर में शामिल करने के लिए, पासकोड (बच्चा) का आईडी बताती है एल्गोरिदम. सिर्फ़ तब इस्तेमाल करें, जब एल्गोरिदम HS256/HS384/HS512 में से कोई एक हो.
| डिफ़ॉल्ट | लागू नहीं |
| मौजूदगी | वैकल्पिक |
| स्ट्रीम किस तरह की है | स्ट्रिंग |
| मान्य वैल्यू | फ़्लो वैरिएबल या स्ट्रिंग |
<SecretKey/Value>
<SecretKey> <Value ref="private.your-variable-name"/> </SecretKey>
यह नीति एचएमएसी एल्गोरिदम की मदद से, टोकन की पुष्टि करने या उन पर हस्ताक्षर करने के लिए इस्तेमाल की जाने वाली सीक्रेट कुंजी देती है. सिर्फ़ इस्तेमाल के लिए जब एल्गोरिदम HS256/HS384/HS512 में से एक हो. ref एट्रिब्यूट का इस्तेमाल करना का इस्तेमाल करें.
Edge, HS256/HS384/HS512 एल्गोरिदम के लिए कम से कम कुंजी की ताकत लागू करता है. कुंजी की कम से कम लंबाई HS256 के लिए यह 32 बाइट, HS384 के लिए यह 48 बाइट, और HS512 के लिए 64 बाइट है. कम ताकत वाली कुंजी का इस्तेमाल करने से रनटाइम की गड़बड़ी होती है.
| डिफ़ॉल्ट | लागू नहीं |
| मौजूदगी | HMAC एल्गोरिदम के लिए ज़रूरी है. |
| स्ट्रीम किस तरह की है | स्ट्रिंग |
| मान्य वैल्यू |
स्ट्रिंग को रेफ़र करने वाला फ़्लो वैरिएबल
ध्यान दें: अगर फ़्लो वैरिएबल होता है, तो उसका प्रीफ़िक्स "निजी" होना चाहिए. इसके लिए
उदाहरण, |
<Subject>
<Subject>subject-string-here</Subject>
<Subject ref="flow_variable" />
उदाहरण के लिए:
<Subject ref="apigee.developer.email"/>
यह नीति, सदस्यता के दावे वाला JWT जनरेट करती है. वैल्यू.यह दावा, JWT के विषय की पहचान करता है या उसके बारे में जानकारी देता है. यह इनमें से एक है दावों के मानक सेट की जानकारी, RFC7519 में बताए गए हैं.
| डिफ़ॉल्ट | लागू नहीं |
| मौजूदगी | वैकल्पिक |
| स्ट्रीम किस तरह की है | स्ट्रिंग |
| मान्य वैल्यू | कोई भी वैल्यू, जिससे किसी विषय या वैल्यू को रेफ़र करने वाले फ़्लो वैरिएबल की खास तौर पर पहचान होती है. |
फ़्लो वैरिएबल
JWT जनरेट करने की नीति, फ़्लो वैरिएबल सेट नहीं करती है.
गड़बड़ी का रेफ़रंस
यह सेक्शन गड़बड़ी के कोड और दिखाए गए गड़बड़ी के मैसेज के बारे में बताता है. साथ ही, इस नीति के ट्रिगर होने पर Edge की मदद से सेट की गई गड़बड़ी के वैरिएबल के बारे में बताता है. यह जानकारी जानना ज़रूरी है कि क्या गड़बड़ियों को ठीक करने के लिए, गड़बड़ी से जुड़े नियम बनाए जा रहे हैं. ज़्यादा जानने के लिए, नीति से जुड़ी गड़बड़ियों के बारे में आपके लिए ज़रूरी जानकारी और गड़बड़ियों को ठीक करने के तरीके देखें.
रनटाइम से जुड़ी गड़बड़ियां
नीति के लागू होने पर ये गड़बड़ियां हो सकती हैं.
| गड़बड़ी का कोड | एचटीटीपी कोड स्थिति | कब होता है |
|---|---|---|
steps.jwt.AlgorithmInTokenNotPresentInConfiguration |
401 | ऐसा तब होता है, जब पुष्टि की नीति में एक से ज़्यादा एल्गोरिदम होते हैं. |
steps.jwt.AlgorithmMismatch |
401 | जनरेट करने की नीति में बताए गए एल्गोरिदम, पुष्टि करने की नीति में मौजूद एल्गोरिदम से मेल नहीं खाते. तय किए गए एल्गोरिदम मेल खाने चाहिए. |
steps.jwt.FailedToDecode |
401 | नीति, JWT को डिकोड नहीं कर सकी. JWT शायद खराब है. |
steps.jwt.GenerationFailed |
401 | नीति, JWT जनरेट नहीं कर सकी. |
steps.jwt.InsufficientKeyLength |
401 | HS256 एल्गोरिदम के लिए 32 बाइट से कम की कुंजी के लिए, HS386 एल्गोरिदम के लिए 48 बाइट से कम और HS512 एल्गोरिदम के लिए 64 बाइट से कम की कुंजी के लिए. |
steps.jwt.InvalidClaim |
401 | ऐसा दावा जो मौजूद नहीं है या दावे से मेल नहीं खाता, या हेडर या हेडर मेल नहीं खाता. |
steps.jwt.InvalidCurve |
401 | कुंजी से तय किया गया कर्व, एलिप्टिक कर्व एल्गोरिदम के लिए मान्य नहीं है. |
steps.jwt.InvalidJsonFormat |
401 | हेडर या पेलोड में अमान्य JSON मिला है. |
steps.jwt.InvalidToken |
401 | यह गड़बड़ी तब होती है, जब JWT हस्ताक्षर की पुष्टि नहीं हो पाती. |
steps.jwt.JwtAudienceMismatch |
401 | टोकन की पुष्टि नहीं करने पर ऑडियंस क्लेम नहीं किया जा सका. |
steps.jwt.JwtIssuerMismatch |
401 | टोकन की पुष्टि करने के दौरान, कार्ड जारी करने वाले बैंक या कंपनी का दावा नहीं किया जा सका. |
steps.jwt.JwtSubjectMismatch |
401 | टोकन की पुष्टि नहीं होने की वजह से, विषय पर दावा नहीं किया जा सका. |
steps.jwt.KeyIdMissing |
401 | पुष्टि करने की नीति, सार्वजनिक कुंजियों के लिए सोर्स के तौर पर JWKS का इस्तेमाल करती है, लेकिन हस्ताक्षर किए गए JWT में हेडर में kid प्रॉपर्टी शामिल नहीं होती. |
steps.jwt.KeyParsingFailed |
401 | सार्वजनिक कुंजी को दी गई कुंजी से पार्स नहीं किया जा सका. |
steps.jwt.NoAlgorithmFoundInHeader |
401 | ऐसा तब होता है, जब JWT में कोई एल्गोरिदम हेडर नहीं होता. |
steps.jwt.NoMatchingPublicKey |
401 | पुष्टि करने की नीति, सार्वजनिक कुंजियों के लिए सोर्स के तौर पर JWKS का इस्तेमाल करती है. हालांकि, साइन किए गए JWT में मौजूद kid, JWKS की सूची में शामिल नहीं है. |
steps.jwt.SigningFailed |
401 | GenJWT में, HS384 या HS512 एल्गोरिदम के लिए तय की गई सबसे कम साइज़ से कम कुंजी के लिए |
steps.jwt.TokenExpired |
401 | नीति ऐसे टोकन की पुष्टि करने की कोशिश करती है जिसकी समयसीमा खत्म हो चुकी है. |
steps.jwt.TokenNotYetValid |
401 | टोकन अभी तक मान्य नहीं है. |
steps.jwt.UnhandledCriticalHeader |
401 | crit हेडर में, ‘JWT की पुष्टि करें’ नीति से मिले हेडर की जानकारी
KnownHeaders में नहीं दी गई है. |
steps.jwt.UnknownException |
401 | एक अज्ञात अपवाद हुआ. |
steps.jwt.WrongKeyType |
401 | कुंजी का गलत प्रकार बताया गया. उदाहरण के लिए, अगर आपने एलिप्टिक कर्व एल्गोरिदम के लिए आरएसए कुंजी या आरएसए एल्गोरिदम के लिए कोई कर्व कुंजी तय की है. |
डिप्लॉयमेंट से जुड़ी गड़बड़ियां
ये गड़बड़ियां तब हो सकती हैं, जब इस नीति वाले किसी प्रॉक्सी को डिप्लॉय किया जाता है.
| गड़बड़ी का नाम | वजह | समाधान |
|---|---|---|
InvalidNameForAdditionalClaim |
अगर <AdditionalClaims> एलिमेंट के चाइल्ड एलिमेंट <Claim> में इस्तेमाल किया गया दावा, इनमें से कोई एक रजिस्टर किया गया नाम है, तो डिप्लॉयमेंट नहीं हो पाएगा:
kid, iss, sub, aud, iat,
exp, nbf या jti.
|
build |
InvalidTypeForAdditionalClaim |
अगर <AdditionalClaims> एलिमेंट के चाइल्ड एलिमेंट <Claim>
में इस्तेमाल किया गया दावा string, number, boolean या map टाइप का नहीं है, तो डिप्लॉयमेंट नहीं हो पाएगा.
|
build |
MissingNameForAdditionalClaim |
अगर <AdditionalClaims> एलिमेंट के चाइल्ड एलिमेंट <Claim> में दावे का नाम नहीं बताया गया है, तो डिप्लॉयमेंट की प्रोसेस पूरी नहीं हो पाएगी.
|
build |
InvalidNameForAdditionalHeader |
यह गड़बड़ी तब होती है, जब <AdditionalClaims> एलिमेंट के चाइल्ड एलिमेंट <Claim> में इस्तेमाल किए गए दावे का नाम alg या typ होता है.
|
build |
InvalidTypeForAdditionalHeader |
अगर <AdditionalClaims> एलिमेंट के चाइल्ड एलिमेंट <Claim> में इस्तेमाल किए गए दावे का टाइप string, number, boolean या map नहीं है, तो डिप्लॉयमेंट की प्रोसेस रद्द नहीं होगी.
|
build |
InvalidValueOfArrayAttribute |
यह गड़बड़ी तब होती है, जब <AdditionalClaims> एलिमेंट के चाइल्ड एलिमेंट <Claim> में ऐरे एट्रिब्यूट की वैल्यू, true या false पर सेट न की गई हो.
|
build |
InvalidConfigurationForActionAndAlgorithm |
अगर <PrivateKey> एलिमेंट का इस्तेमाल एचएस फ़ैमिली एल्गोरिदम के साथ किया गया है या
<SecretKey> एलिमेंट का इस्तेमाल आरएसए फ़ैमिली एल्गोरिदम के साथ किया गया है, तो डिप्लॉयमेंट काम नहीं करेगा.
|
build |
InvalidValueForElement |
अगर <Algorithm> एलिमेंट में दी गई वैल्यू, इस्तेमाल की जा सकने वाली वैल्यू नहीं है,
तो डिप्लॉयमेंट काम नहीं करेगा.
|
build |
MissingConfigurationElement |
यह गड़बड़ी तब होती है, जब <PrivateKey> एलिमेंट का इस्तेमाल आरएसए फ़ैमिली एल्गोरिदम के साथ न किया गया हो या <SecretKey> एलिमेंट का इस्तेमाल एचएस फ़ैमिली एल्गोरिदम के साथ न किया गया हो.
|
build |
InvalidKeyConfiguration |
अगर <PrivateKey>
या <SecretKey> एलिमेंट में चाइल्ड एलिमेंट <Value> के बारे में नहीं बताया गया है, तो डिप्लॉयमेंट नहीं हो पाएगा.
|
build |
EmptyElementForKeyConfiguration |
अगर <PrivateKey> या <SecretKey> एलिमेंट के चाइल्ड एलिमेंट <Value> का रेफ़रंस एट्रिब्यूट खाली है या इसके बारे में नहीं बताया गया है, तो डिप्लॉयमेंट काम नहीं करेगा.
|
build |
InvalidVariableNameForSecret |
यह गड़बड़ी तब होती है, जब <PrivateKey> या <SecretKey> एलिमेंट के चाइल्ड एलिमेंट <Value> के ref एट्रिब्यूट में दिए गए फ़्लो वैरिएबल के नाम में निजी प्रीफ़िक्स (private.) शामिल न हो.
|
build |
InvalidSecretInConfig |
यह गड़बड़ी तब होती है, जब <PrivateKey>
या <SecretKey> एलिमेंट के चाइल्ड एलिमेंट <Value> में निजी प्रीफ़िक्स (private.) शामिल न हो.
|
build |
InvalidTimeFormat |
अगर <NotBefore> एलिमेंट में दी गई वैल्यू, काम करने वाले फ़ॉर्मैट का इस्तेमाल नहीं करती है, तो डिप्लॉयमेंट काम नहीं करेगा.
|
build |
गड़बड़ी के वैरिएबल
रनटाइम की गड़बड़ी होने पर ये वैरिएबल सेट किए जाते हैं. ज़्यादा जानकारी के लिए, आपके लिए ज़रूरी जानकारी देखें नीति से जुड़ी गड़बड़ियों के बारे में जानकारी.
| वैरिएबल | कहां | उदाहरण |
|---|---|---|
fault.name="fault_name" |
fault_name गड़बड़ी का नाम है, जैसा कि ऊपर रनटाइम में गड़बड़ियां टेबल में बताया गया है. गड़बड़ी का नाम, गड़बड़ी के कोड का आखिरी हिस्सा होता है. | fault.name Matches "TokenExpired" |
JWT.failed |
कोई गड़बड़ी होने पर, JWT की सभी नीतियां एक ही वैरिएबल सेट करती हैं. | JWT.failed = true |
गड़बड़ी के रिस्पॉन्स का उदाहरण
गड़बड़ी ठीक करने के लिए, सबसे सही तरीका यह है कि गड़बड़ी के errorcode वाले हिस्से को छिपाया जाए
जवाब. faultstring में मौजूद टेक्स्ट पर पूरी तरह भरोसा न करें, क्योंकि इससे बदलाव हो सकता है.
गड़बड़ी के नियम का उदाहरण
<FaultRules>
<FaultRule name="JWT Policy Errors">
<Step>
<Name>JavaScript-1</Name>
<Condition>(fault.name Matches "TokenExpired")</Condition>
</Step>
<Condition>JWT.failed=true</Condition>
</FaultRule>
</FaultRules>