इस पेज का अनुवाद Cloud Translation API से किया गया है.

JJWT नीति जनरेट करें

Apigee Edge दस्तावेज़ देखा जा रहा है.
Apigee X दस्तावेज़ पर जाएं. जानकारी

यह क्या है

कॉन्फ़िगर किए जा सकने वाले दावों के सेट के साथ, साइन किया हुआ JWT जनरेट करता है. इसके बाद, JWT को क्लाइंट को लौटाया जा सकता है, बैकएंड टारगेट पर भेजा जा सकता है या किसी दूसरे तरीके से इस्तेमाल किया जा सकता है. ज़्यादा जानकारी के लिए, JWS और JWT की नीतियों की खास जानकारी देखें.

वीडियो

साइन किया हुआ JWT जनरेट करने का तरीका जानने के लिए, यह छोटा सा वीडियो देखें.

सैंपल

HS256 एल्गोरिदम की मदद से साइन किया गया JWT जनरेट करें
RS256 एल्गोरिदम की मदद से साइन किया गया JWT जनरेट करें

HS256 एल्गोरिदम की मदद से साइन किया गया JWT जनरेट करें

उदाहरण के लिए, यह नीति एक नया JWT जनरेट करती है और HS256 एल्गोरिदम का इस्तेमाल करके साइन करती है. हस्ताक्षर करने और उसकी पुष्टि करने के लिए, HS256 शेयर की गई जानकारी का इस्तेमाल करता है.

नीति से जुड़ी इस कार्रवाई को ट्रिगर करने पर Edge, JWT के हेडर और पेलोड को कोड में बदलता है. इसके बाद, यह JWT को डिजिटल तरीके से साइन करता है. उदाहरण के लिए, ऊपर दिया गया वीडियो देखें. इसमें नीति का अनुरोध करने का तरीका भी बताया गया है.

यहां नीति के कॉन्फ़िगरेशन में, JWT के निर्देशों के मुताबिक स्टैंडर्ड दावों के सेट वाला JWT बनाया जाएगा. इसमें एक घंटे की समयसीमा के साथ-साथ एक और दावा भी शामिल होगा. आपके पास, जितने चाहें उतने और दावे शामिल करने का विकल्प होता है. इस सैंपल नीति में, हर एलिमेंट के लिए ज़रूरी शर्तों और विकल्पों के बारे में जानकारी के लिए, एलिमेंट रेफ़रंस देखें.

<GenerateJWT name="JWT-Generate-HS256">
    <DisplayName>JWT Generate HS256</DisplayName>
    <Algorithm>HS256</Algorithm>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <SecretKey>
        <Value ref="private.secretkey"/>
        <Id>1918290</Id>
    </SecretKey>
    <ExpiresIn>1h</ExpiresIn>
    <Subject>monty-pythons-flying-circus</Subject>
    <Issuer>urn://apigee-edge-JWT-policy-test</Issuer>
    <Audience>fans</Audience>
    <Id/>
    <AdditionalClaims>
        <Claim name="show">And now for something completely different.</Claim>
    </AdditionalClaims>
    <OutputVariable>jwt-variable</OutputVariable>
</GenerateJWT>

इससे मिलने वाले JWT में यह हेडर होगा ...

{
  "typ" : "JWT", 
  "alg" : "HS256",
  "kid" : "1918290"
}

... और इसमें कुछ इस तरह की सामग्री वाला एक पेलोड होगा:

{ 
  "sub" : "monty-pythons-flying-circus",
  "iss" : "urn://apigee-edge-JWT-policy-test",
  "aud" : "show",
  "iat" : 1506553019,
  "exp" : 1506556619,
  "jti" : "BD1FF263-3D25-4593-A685-5EC1326E1F37",
  "show": "And now for something completely different."
}

iat, exp, और jti दावों की वैल्यू अलग-अलग होगी.

RS256 एल्गोरिदम की मदद से साइन किया गया JWT जनरेट करें

ध्यान दें: इसी उदाहरण का इस्तेमाल PS256 या ES256 एल्गोरिदम के लिए JWT जनरेट करने के लिए करें. बस <Algorithm>RS256</Algorithm> की वैल्यू को PS256 या ES256 में बदलें. ES256 के लिए, आपको ऐसी कुंजी तय करनी होगी जो एल्गोरिदम के साथ काम करे. ज़रूरी शर्तों के बारे में ज़्यादा जानने के लिए, हस्ताक्षर को एन्क्रिप्ट (सुरक्षित) करने के एल्गोरिदम के बारे में जानकारी देखें.

उदाहरण के तौर पर दी गई यह नीति, एक नया JWT जनरेट करती है और RS256 एल्गोरिदम का इस्तेमाल करके उसे साइन करती है. RS256 सिग्नेचर जनरेट होने पर, आरएसए निजी कुंजी का इस्तेमाल किया जाता है. यह कुंजी, PEM के कोड में बदले गए फ़ॉर्म में दी जानी चाहिए. उदाहरण के लिए, ऊपर दिया गया वीडियो देखें. इसमें नीति का अनुरोध करने का तरीका भी बताया गया है.

जब नीति से जुड़ी इस कार्रवाई को ट्रिगर किया जाता है, तब Edge, दावों के साथ-साथ JWT को कोड में बदलता है और डिजिटल तरीके से साइन करता है. JWT के हिस्सों और उन्हें एन्क्रिप्ट (सुरक्षित) और साइन करने के तरीके के बारे में जानने के लिए, RFC7519 देखें.

<GenerateJWT name="JWT-Generate-RS256">
    <Algorithm>RS256</Algorithm>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <PrivateKey>
        <Value ref="private.privatekey"/>
        <Password ref="private.privatekey-password"/>
        <Id ref="private.privatekey-id"/>
    </PrivateKey>
    <Subject>apigee-seattle-hatrack-montage</Subject>
    <Issuer>urn://apigee-edge-JWT-policy-test</Issuer>
    <Audience>urn://c60511c0-12a2-473c-80fd-42528eb65a6a</Audience>
    <ExpiresIn>60m</ExpiresIn>
    <Id/>
    <AdditionalClaims>
        <Claim name="show">And now for something completely different.</Claim>
    </AdditionalClaims>
    <OutputVariable>jwt-variable</OutputVariable>
</GenerateJWT>

मुख्य एलिमेंट सेट करना

JWT जनरेट करने के लिए इस्तेमाल की जाने वाली कुंजी तय करने के लिए इस्तेमाल किए जाने वाले एलिमेंट, चुने गए एल्गोरिदम पर निर्भर करते हैं. जैसा कि इस टेबल में दिखाया गया है:

एल्‍गोरि‍दम मुख्य एलिमेंट

एल्‍गोरि‍दम	मुख्य एलिमेंट
HS{256/384/512}^*	<SecretKey> <Value ref="private.secretkey"/> <Id>1918290</Id> </SecretKey>
RS/PS/ES{256/384/512}^*	<PrivateKey> <Value ref="private.privatekey"/> <Password ref="private.privatekey-password"/> <Id ref="private.privatekey-id"/> </PrivateKey> `<Password>` और `<Id>` एलिमेंट ज़रूरी नहीं हैं.
^*अहम शर्तों के बारे में ज़्यादा जानने के लिए, सिग्नेचर एन्क्रिप्शन एल्गोरिदम के बारे में जानकारी देखें.

HS{256/384/512}^*

<SecretKey>
  <Value ref="private.secretkey"/>
  <Id>1918290</Id>
</SecretKey>

RS/PS/ES{256/384/512}^*

<PrivateKey>
  <Value ref="private.privatekey"/>
  <Password ref="private.privatekey-password"/>
  <Id ref="private.privatekey-id"/>
</PrivateKey>

<Password> और <Id> एलिमेंट ज़रूरी नहीं हैं.

^*अहम शर्तों के बारे में ज़्यादा जानने के लिए, सिग्नेचर एन्क्रिप्शन एल्गोरिदम के बारे में जानकारी देखें.

JWT जनरेट करने के लिए एलिमेंट रेफ़रंस

नीति के रेफ़रंस से, JWT जनरेट करने की नीति के एलिमेंट और एट्रिब्यूट के बारे में जानकारी मिलती है.

ध्यान दें: आपके एन्क्रिप्शन एल्गोरिदम के आधार पर, कॉन्फ़िगरेशन कुछ-कुछ अलग होगा. इस्तेमाल के खास उदाहरणों से जुड़े कॉन्फ़िगरेशन की जानकारी देने वाले उदाहरण देखने के लिए, सैंपल देखें.

टॉप-लेवल एलिमेंट पर लागू होने वाले एट्रिब्यूट

<GenerateJWT name="JWT" continueOnError="false" enabled="true" async="false">

ये एट्रिब्यूट, नीति के सभी पैरंट एलिमेंट के लिए एक जैसे होते हैं.

एट्रिब्यूट	जानकारी	डिफ़ॉल्ट	मौजूदगी
नाम	नीति का अंदरूनी नाम. नाम में इस्तेमाल किए जाने वाले वर्ण, इन तक सीमित हैं: `A-Z0-9._\-$ %`. हालांकि, Edge मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) अतिरिक्त पाबंदियां लागू करता है. जैसे, उन वर्णों को अपने-आप हटाना जो अक्षर और अंक नहीं हैं. इसके अलावा, मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) प्रॉक्सी एडिटर में नीति को आम भाषा में अलग नाम से लेबल करने के लिए, `<displayname></displayname>` एलिमेंट का इस्तेमाल करें.	लागू नहीं	ज़रूरी है
continueOnError	इस नीति को `false` पर सेट करें, ताकि नीति के काम न करने पर गड़बड़ी का मैसेज दिखे. ज़्यादातर नीतियों में, ऐसा आम तौर पर किया जाता है. किसी नीति के काम न करने पर भी फ़्लो एक्ज़ीक्यूट करने की प्रोसेस को जारी रखने के लिए, `true` पर सेट करें.	false	ज़रूरी नहीं
चालू किया गया	नीति लागू करने के लिए, `true` पर सेट करें. नीति को "बंद" करने के लिए, `false` पर सेट करें. भले ही, यह नीति किसी फ़्लो से जुड़ी हुई हो, लेकिन उसे लागू नहीं किया जाएगा.	सही	ज़रूरी नहीं
async	यह एट्रिब्यूट अब काम नहीं करता.	false	बहिष्कृत

<DisplayName>

<DisplayName>Policy Display Name</DisplayName>

मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) प्रॉक्सी एडिटर में नीति को एक अलग, आम भाषा के नाम से लेबल करने के लिए, नाम एट्रिब्यूट के साथ-साथ इसका इस्तेमाल करें.

डिफ़ॉल्ट	अगर इस एलिमेंट को छोड़ दिया जाता है, तो नीति के नाम वाले एट्रिब्यूट की वैल्यू का इस्तेमाल किया जाता है.
मौजूदगी	ज़रूरी नहीं
स्ट्रीम किस तरह की है	स्ट्रिंग

<Algorithm>

<Algorithm>algorithm-here</Algorithm>

टोकन पर हस्ताक्षर करने के लिए, एन्क्रिप्ट (सुरक्षित) करने का एल्गोरिदम तय करता है.

डिफ़ॉल्ट	लागू नहीं
मौजूदगी	ज़रूरी है
स्ट्रीम किस तरह की है	स्ट्रिंग
मान्य वैल्यू	HS256, HS384, HS512, RS256, RS384, RS512, ES256, ES384, ES512, PS256, PS384, PS512

<Audience>

<Audience>audience-here</Audience>

or:

<Audience ref='variable_containing_audience'/>

यह नीति एक जेडब्लयूटी जनरेट करती है, जिसमें किसी खास वैल्यू पर सेट किया गया aud दावा होता है. यह दावा उन उपयोगकर्ताओं की पहचान करता है जिनके लिए JWT है. यह RFC7519 में रजिस्टर किए गए दावों में से एक है.

डिफ़ॉल्ट	लागू नहीं
मौजूदगी	ज़रूरी नहीं
स्ट्रीम किस तरह की है	कलेक्शन (कॉमा लगाकर अलग की गई वैल्यू की सूची)
मान्य वैल्यू	कोई भी ऐसा कॉन्टेंट जिससे ऑडियंस की पहचान होती है.

<अतिरिक्त दावे/दावा>

<AdditionalClaims>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
</AdditionalClaims>

or:

<AdditionalClaims ref='claim_payload'/>

इसकी मदद से, आपको JWT के पेलोड में अतिरिक्त दावे का नाम/वैल्यू पेयर तय करने की सुविधा मिलती है. आपके पास स्ट्रिंग, संख्या, बूलियन, मैप या ऐरे के तौर पर दावे की जानकारी देने का विकल्प होता है. मैप सिर्फ़ नाम/वैल्यू पेयर का सेट होता है.

<Claim> एलिमेंट, डाइनैमिक स्ट्रिंग की मदद से वैल्यू बदलने की सुविधा देता है. इसे type=map होने पर, मैसेज टेंप्लेट कहते हैं.

डिफ़ॉल्ट	लागू नहीं
मौजूदगी	ज़रूरी नहीं
मान्य वैल्यू	कोई भी वैल्यू जिसका इस्तेमाल आपको अतिरिक्त दावे के लिए करना है. आपके पास स्ट्रिंग, संख्या, बूलियन, मैप या ऐरे के तौर पर दावे की जानकारी देने का विकल्प होता है.

<Claim> एलिमेंट में ये एट्रिब्यूट शामिल होते हैं:

name - (ज़रूरी है) दावे का नाम.
ध्यान दें: इस एलिमेंट में, दावों के लिए रजिस्टर किए गए किसी भी नाम का इस्तेमाल न करें. रजिस्टर किए गए दावों की जानकारी RFC7519 में दी गई है. इनमें ये शामिल हैं: "iss", "sub", "aud", "iat", "exp", "nbf", और "jti".
ref - (ज़रूरी नहीं) फ़्लो वैरिएबल का नाम. अगर यह वैल्यू मौजूद है, तो नीति इस वैरिएबल की वैल्यू को दावे के तौर पर इस्तेमाल करेगी. अगर ref एट्रिब्यूट और साफ़ तौर पर दावे की वैल्यू, दोनों के बारे में बताया गया है, तो अश्लील वैल्यू को डिफ़ॉल्ट माना जाता है. इसका इस्तेमाल तब किया जाता है, जब रेफ़र किए गए फ़्लो वैरिएबल से जुड़ी गड़बड़ी का पता नहीं चलता हो.
type - (ज़रूरी नहीं) इनमें से कोई एक: स्ट्रिंग (डिफ़ॉल्ट), संख्या, बूलियन या मैप
array - (ज़रूरी नहीं) यह बताने के लिए कि वैल्यू, टाइप का कलेक्शन है या नहीं, true पर सेट करें. डिफ़ॉल्ट: 'गलत'.

<Claim> एलिमेंट शामिल करने पर, नीति को कॉन्फ़िगर करते समय दावे के नाम स्टैटिक रूप से सेट हो जाते हैं. इसके अलावा, दावे के नाम बताने के लिए, JSON ऑब्जेक्ट पास किया जा सकता है. JSON ऑब्जेक्ट, वैरिएबल के तौर पर पास किया जाता है. इसलिए, जनरेट किए गए JWT में दावे के नाम, रनटाइम पर तय किए जाते हैं.

उदाहरण के लिए:

<AdditionalClaims ref='json_claims'/>

जहां वैरिएबल json_claims के फ़ॉर्म में एक JSON ऑब्जेक्ट होता है:

{
  "sub" : "person@example.com",
  "iss" : "urn://secure-issuer@example.com",
  "non-registered-claim" : {
    "This-is-a-thing" : 817,
    "https://example.com/foobar" : { "p": 42, "q": false }
  }
}

जनरेट किए गए JWT में JSON ऑब्जेक्ट के सभी दावे शामिल होते हैं.

Claim एलिमेंट में, वैरिएबल का रेफ़रंस और साफ़ तौर पर दावा की वैल्यू, दोनों का इस्तेमाल करते समय, यहां दिए गए व्यवहार पर ध्यान देना ज़रूरी है:

Edge इन स्थितियों में दावा जनरेट नहीं करेगा:

अगर कोई वैरिएबल रेफ़रंस मौजूद है, लेकिन वह हल नहीं हुई है, और
अगर आपने कोई वैल्यू (डिफ़ॉल्ट वैल्यू) नहीं बताई है, और
अगर IgnoreUnresolvedVariables नीति एट्रिब्यूट true है.

अगर IgnoreUnresolvedVariables false है, तो EDGE ऊपर बताई गई स्थितियों में गड़बड़ी दिखाता है.

Edge इन स्थितियों में दावा जनरेट करेगा:

अगर कोई वैरिएबल रेफ़रंस मौजूद है, लेकिन हल नहीं हुआ है, और
अगर आपने साफ़ तौर पर कोई वैल्यू (डिफ़ॉल्ट वैल्यू) दी है, और
अगर IgnoreUnresolvedVariables, true या false हो

<additionalHeaders/दावा>

<AdditionalHeaders>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
    <Claim name='claim4' ref='variable-name' type='string' array='true'/>
 </AdditionalHeaders>

JWT के हेडर में अतिरिक्त दावे का नाम/वैल्यू पेयर डालता है.

डिफ़ॉल्ट	लागू नहीं
मौजूदगी	ज़रूरी नहीं
मान्य वैल्यू	कोई भी वैल्यू जिसका इस्तेमाल आपको अतिरिक्त दावे के लिए करना है. आपके पास स्ट्रिंग, संख्या, बूलियन, मैप या ऐरे के तौर पर दावे की जानकारी देने का विकल्प होता है.

<Claim> एलिमेंट में ये एट्रिब्यूट शामिल होते हैं:

name - (ज़रूरी है) दावे का नाम.
ध्यान दें: इस एलिमेंट में, दावों के लिए रजिस्टर किए गए किसी भी नाम का इस्तेमाल न करें. रजिस्टर किए गए दावों की जानकारी RFC7519 में दी गई है. इनमें ये शामिल हैं: "iss", "sub", "aud", "iat", "exp", "nbf", और "jti".
ref - (ज़रूरी नहीं) फ़्लो वैरिएबल का नाम. अगर यह वैल्यू मौजूद है, तो नीति इस वैरिएबल की वैल्यू को दावे के तौर पर इस्तेमाल करेगी. अगर ref एट्रिब्यूट और साफ़ तौर पर दावे की वैल्यू, दोनों के बारे में बताया गया है, तो अश्लील वैल्यू को डिफ़ॉल्ट माना जाता है. इसका इस्तेमाल तब किया जाता है, जब रेफ़र किए गए फ़्लो वैरिएबल से जुड़ी गड़बड़ी का पता नहीं चलता हो.
type - (ज़रूरी नहीं) इनमें से कोई एक: स्ट्रिंग (डिफ़ॉल्ट), संख्या, बूलियन या मैप
array - (ज़रूरी नहीं) यह बताने के लिए कि वैल्यू, टाइप का कलेक्शन है या नहीं, true पर सेट करें. डिफ़ॉल्ट: 'गलत'.

<CriticalHeaders>

<CriticalHeaders>a,b,c</CriticalHeaders>

or:

<CriticalHeaders ref=’variable_containing_headers’/>

JWT हेडर में ज़रूरी हेडर, crit जोड़ता है. crit हेडर, हेडर के नामों की एक कलेक्शन होता है. यह जेडब्लयूटी रिसीवर के बारे में जानता है और उसकी पहचान कर सकता है. उदाहरण के लिए:

{
  “typ: “...”,
  “alg” : “...”,
  “crit” : [ “a”, “b”, “c” ],
}

रनटाइम के दौरान, VerifyJWT नीति, क्रिट हेडर की जांच करती है. crit हेडर में दिए गए हर आइटम के लिए, यह जांच करता है कि VerifyJWT नीति का <KnownHeaders> एलिमेंट भी उस हेडर को शामिल करता है या नहीं. पुष्टि करने वाली JWT नीति को crit में मिलने वाला ऐसा कोई भी हेडर, जो <KnownHeaders> में भी शामिल नहीं है, पुष्टि करने वाली JWT नीति लागू नहीं हो पाएगी.

ध्यान दें: <CriticalHeaders> असल में, JWT में हेडर नहीं जोड़ता. यह सिर्फ़ crit हेडर के कॉन्टेंट के बारे में जानकारी देता है. हेडर जोड़ने के लिए, <AdditionalHeader/Claims> का इस्तेमाल किया जा सकता है.

डिफ़ॉल्ट	लागू नहीं
मौजूदगी	ज़रूरी नहीं
स्ट्रीम किस तरह की है	कॉमा से अलग की गई स्ट्रिंग का अरे
मान्य वैल्यू	या तो अरे या अरे वाले वैरिएबल का नाम.

<CustomClaims>

ध्यान दें: फ़िलहाल, जब यूज़र इंटरफ़ेस (यूआई) की मदद से नई generateJWT नीति जोड़ी जाती है, तो CustomClaims एलिमेंट शामिल किया जाता है. यह एलिमेंट काम नहीं करता और इसे अनदेखा कर दिया जाता है. इसके बजाय, इस्तेमाल करने के लिए सही एलिमेंट <AdditionalClaims> है. सही एलिमेंट डालने के लिए, यूज़र इंटरफ़ेस (यूआई) को बाद में अपडेट किया जाएगा.

<ExpiresIn>

<ExpiresIn>time-value-here</ExpiresIn>

JWT के लंबे समय की अवधि को मिलीसेकंड, सेकंड, मिनट, घंटे या दिनों में बताता है.

डिफ़ॉल्ट	`N/A`
मौजूदगी	ज़रूरी नहीं
स्ट्रीम किस तरह की है	पूर्णांक
मान्य वैल्यू	वह वैल्यू या उस फ़्लो वैरिएबल का रेफ़रंस जिसमें वैल्यू शामिल होती है. समय की इकाइयों के बारे में इस तरह बताया जा सकता है: मिलीसेकंड = मिलीसेकंड (डिफ़ॉल्ट) सेकंड = सेकंड मी॰ = मिनट h = घंटा d = दिन उदाहरण के लिए, `ExpiresIn`=10d, 86,4000 के `ExpiresIn` के बराबर है.

<आईडी>

<Id>explicit-jti-value-here</Id>
 -or-
<Id ref='variable-name-here'/>
 -or-
<Id/>

खास jti दावे के साथ, JWT जनरेट करता है. टेक्स्ट वैल्यू और ref एट्रिब्यूट दोनों के खाली होने पर, नीति एक रैंडम UUID वाली jti जनरेट करेगी. JWT आईडी (jti) दावा, JWT का एक यूनीक आइडेंटिफ़ायर है. jti के बारे में ज़्यादा जानने के लिए, RFC7519 देखें.

डिफ़ॉल्ट	लागू नहीं
मौजूदगी	ज़रूरी नहीं
स्ट्रीम किस तरह की है	स्ट्रिंग या रेफ़रंस.
मान्य वैल्यू	स्ट्रिंग या आईडी वाले फ़्लो वैरिएबल का नाम.

<IgnoreUnresolvedVariables>

<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>

अगर नीति में बताए गए किसी भी रेफ़र किए गए वैरिएबल को ठीक नहीं किया जा सकता, तो नीति से गड़बड़ी होने की सूचना मिलने पर, 'गलत' पर सेट करें. किसी भी हल न किए जा सकने वाले वैरिएबल को खाली स्ट्रिंग के तौर पर मेज़र करने के लिए, 'सही' पर सेट करें.

डिफ़ॉल्ट	गलत
मौजूदगी	ज़रूरी नहीं
स्ट्रीम किस तरह की है	बूलियन
मान्य वैल्यू	सही या गलत

<Issuer>

<Issuer ref='variable-name-here'/>
<Issuer>issuer-string-here</Issuer>

यह नीति एक जेडब्लयूटी जनरेट करती है जिसमें iss नाम का दावा मौजूद है. इसकी वैल्यू तय की गई वैल्यू पर सेट है. ऐसा दावा जिससे JWT जारी करने वाले की पहचान की जा सके. यह RFC7519 में बताए गए दावों के रजिस्टर किए गए सेट में से एक है.

डिफ़ॉल्ट	लागू नहीं
मौजूदगी	ज़रूरी नहीं
स्ट्रीम किस तरह की है	स्ट्रिंग या रेफ़रंस
मान्य वैल्यू	कोई भी

<NotBefore>

<!-- Specify an absolute time. -->
<NotBefore>2017-08-14T11:00:21-07:00</NotBefore>
 -or-
<!-- Specify a time relative to when the token is generated. -->
<NotBefore>6h</NotBefore>

वह समय बताता है जब टोकन मान्य हो जाता है. तय किए गए समय तक, टोकन अमान्य है. टोकन के जनरेट होने के समय से जुड़ी कोई वैल्यू या ऐब्सलूट टाइम वैल्यू दी जा सकती है.

डिफ़ॉल्ट	लागू नहीं
मौजूदगी	ज़रूरी नहीं
स्ट्रीम किस तरह की है	स्ट्रिंग
मान्य वैल्यू	नीचे देखें.

कुल समय की वैल्यू के लिए, NotBefore एलिमेंट के लिए मान्य समय की वैल्यू

नाम	फ़ॉर्मैट	उदाहरण
क्रम से लगाया जा सकता है	`yyyy-MM-dd'T'HH:mm:ss.SSSZ`	2017-08-14T11:00:21.269-0700
आरएफ़सी 1123	`EEE, dd MMM yyyy HH:mm:ss zzz`	सोम, 14 अगस्त 2017 11:00:21 PDT
आरएफ़सी 850	`EEEE, dd-MMM-yy HH:mm:ss zzz`	सोमवार, 14 अगस्त-17 11:00:21 पीडीटी
एएनसीआई-सी	`EEE MMM d HH:mm:ss yyyy`	सोमवार 14 अगस्त 11:00:21, 2017

रिलेटिव टाइम वैल्यू के लिए, कोई पूर्णांक और समयावधि तय करें. उदाहरण के लिए:

10 सेकंड
60 मीटर
12 घंटे

<OutputVariable>

<OutputVariable>jwt-variable</OutputVariable>

इससे पता चलता है कि इस नीति के तहत जनरेट किए गए JWT को कहां रखना है. डिफ़ॉल्ट रूप से, इसे फ़्लो वैरिएबल jwt.POLICYNAME.generated_jwt में रखा जाता है.

डिफ़ॉल्ट	`jwt.POLICYNAME.generated_jwt`
मौजूदगी	ज़रूरी नहीं
स्ट्रीम किस तरह की है	स्ट्रिंग (एक फ़्लो वैरिएबल का नाम)

<PrivateKey/Id>

<PrivateKey>
  <Id ref="flow-variable-name-here"/>
</PrivateKey>

or

<PrivateKey>
  <Id>your-id-value-here</Id>
</PrivateKey>

JWT हेडर में शामिल करने के लिए कुंजी आईडी (बच्चे) तय करता है. इसका इस्तेमाल सिर्फ़ तब करें, जब एल्गोरिदम RS256/RS384/RS512, PS256/PS384/PS512 या ES256/ES384/ES512 में से कोई एक हो.

डिफ़ॉल्ट	लागू नहीं
मौजूदगी	ज़रूरी नहीं
स्ट्रीम किस तरह की है	स्ट्रिंग
मान्य वैल्यू	फ़्लो वैरिएबल या स्ट्रिंग

<PrivateKey/Password>

<PrivateKey>
  <Password ref="private.privatekey-password"/>
</PrivateKey>

ज़रूरत पड़ने पर, निजी पासकोड को डिक्रिप्ट करने के लिए, नीति के लिए इस्तेमाल किया जाने वाला पासवर्ड तय करें. फ़्लो वैरिएबल में कुंजी पास करने के लिए, ref एट्रिब्यूट का इस्तेमाल करें. इसका इस्तेमाल सिर्फ़ तब करें, जब एल्गोरिदम RS256/RS384/RS512, PS256/PS384/PS512 या ES256/ES384/ES512 में से कोई एक हो.

डिफ़ॉल्ट	लागू नहीं
मौजूदगी	ज़रूरी नहीं
स्ट्रीम किस तरह की है	स्ट्रिंग
मान्य वैल्यू	फ़्लो वैरिएबल का रेफ़रंस. ध्यान दें: आपको एक फ़्लो वैरिएबल तय करना होगा. Edge, नीति के उस कॉन्फ़िगरेशन को अमान्य मानकर अस्वीकार कर देगा जिसमें पासवर्ड को सादे टेक्स्ट में बताया गया है. फ़्लो वैरिएबल में प्रीफ़िक्स "private" होना चाहिए. उदाहरण के लिए, `private.mypassword`

<PrivateKey/Value>

<PrivateKey>
  <Value ref="private.variable-name-here"/>
</PrivateKey>

JWT पर हस्ताक्षर करने के लिए इस्तेमाल की जाने वाली PEM-एन्कोडेड निजी कुंजी के बारे में बताता है. फ़्लो वैरिएबल में कुंजी पास करने के लिए, ref एट्रिब्यूट का इस्तेमाल करें. सिर्फ़ तब इस्तेमाल करें, जब एल्गोरिदम RS256/RS384/RS512, PS256/PS384/PS512 या ES256/ES384/ES512 में से एक हो.

डिफ़ॉल्ट	लागू नहीं
मौजूदगी	RS256 एल्गोरिदम का इस्तेमाल करके, JWT जनरेट करने के लिए इसे ज़रूरी है.
स्ट्रीम किस तरह की है	स्ट्रिंग
मान्य वैल्यू	एक फ़्लो वैरिएबल, जिसमें एक स्ट्रिंग है. यह PEM-एन्कोडेड आरएसए निजी कुंजी की वैल्यू को दिखाती है. ध्यान दें: फ़्लो वैरिएबल में प्रीफ़िक्स "private" होना चाहिए. उदाहरण के लिए, `private.mykey`

<SecretKey/आईडी>

<SecretKey>
  <Id ref="flow-variable-name-here"/>
</SecretKey>

or

<SecretKey>
  <Id>your-id-value-here</Id>
</SecretKey>

एचएमएसी एल्गोरिदम की मदद से साइन किए गए जेडब्लयूटी हेडर में शामिल करने के लिए, कुंजी आईडी (बच्चे) के बारे में बताता है. इसका इस्तेमाल सिर्फ़ तब करें, जब एल्गोरिदम HS256/HS384/HS512 में से एक हो.

डिफ़ॉल्ट	लागू नहीं
मौजूदगी	ज़रूरी नहीं
स्ट्रीम किस तरह की है	स्ट्रिंग
मान्य वैल्यू	फ़्लो वैरिएबल या स्ट्रिंग

<SecretKey/Value>

<SecretKey>
  <Value ref="private.your-variable-name"/>
</SecretKey>

एचएमएसी एल्गोरिदम की मदद से, टोकन की पुष्टि करने या उन पर हस्ताक्षर करने के लिए इस्तेमाल की जाने वाली सीक्रेट कुंजी देता है. इसका इस्तेमाल सिर्फ़ तब करें, जब एल्गोरिदम HS256/HS384/HS512 में से एक हो. फ़्लो वैरिएबल में कुंजी पास करने के लिए, ref एट्रिब्यूट का इस्तेमाल करें.

Edge, HS256/HS384/HS512 एल्गोरिदम के लिए, ज़रूरी वैल्यू को कम से कम लागू करता है. HS256 के लिए कुंजी की लंबाई कम से कम 32 बाइट होनी चाहिए, HS384 के लिए यह 48 बाइट और HS512 के लिए 64 बाइट होनी चाहिए. कम क्षमता वाली कुंजी का इस्तेमाल करने से रनटाइम में गड़बड़ी होती है.

डिफ़ॉल्ट	लागू नहीं
मौजूदगी	एचएमएसी एल्गोरिदम के लिए ज़रूरी है.
स्ट्रीम किस तरह की है	स्ट्रिंग
मान्य वैल्यू	किसी स्ट्रिंग का रेफ़रंस देने वाला फ़्लो वैरिएबल ध्यान दें: अगर कोई फ़्लो वैरिएबल है, तो उसका प्रीफ़िक्स "private" होना चाहिए. उदाहरण के लिए, `private.mysecret`

<Subject>

<Subject>subject-string-here</Subject>

या

<Subject ref="flow_variable" />

उदाहरण के लिए:

<Subject ref="apigee.developer.email"/>

यह नीति ऐसा JWT जनरेट करती है जिसमें sub दावा, जो तय की गई वैल्यू पर सेट हो.यह दावा, JWT के विषय की पहचान करता है या उसके बारे में कोई स्टेटमेंट देता है. यह RFC7519 में बताए गए दावों के स्टैंडर्ड सेट में से एक है.

डिफ़ॉल्ट	लागू नहीं
मौजूदगी	ज़रूरी नहीं
स्ट्रीम किस तरह की है	स्ट्रिंग
मान्य वैल्यू	कोई भी वैल्यू, जो किसी सब्जेक्ट या किसी वैल्यू के बारे में बताने वाले फ़्लो वैरिएबल की खास तौर पर पहचान करती हो.

फ़्लो वैरिएबल

JWT जनरेट करें नीति, फ़्लो वैरिएबल सेट नहीं करती.

गड़बड़ी का रेफ़रंस

यह सेक्शन गड़बड़ी के कोड और दिखाए गए गड़बड़ी के मैसेज के बारे में बताता है. साथ ही, इस नीति के ट्रिगर होने पर Edge की मदद से सेट की गई गड़बड़ी के वैरिएबल के बारे में बताता है. यह जानकारी जानना ज़रूरी है कि क्या गड़बड़ियों को ठीक करने के लिए, गड़बड़ी से जुड़े नियम बनाए जा रहे हैं. ज़्यादा जानने के लिए, नीति से जुड़ी गड़बड़ियों के बारे में आपके लिए ज़रूरी जानकारी और गड़बड़ियों को ठीक करने के तरीके देखें.

रनटाइम से जुड़ी गड़बड़ियां

नीति के लागू होने पर ये गड़बड़ियां हो सकती हैं.

गड़बड़ी का कोड	एचटीटीपी कोड स्थिति	कब होता है
`steps.jwt.AlgorithmInTokenNotPresentInConfiguration`	401	ऐसा तब होता है, जब पुष्टि की नीति में एक से ज़्यादा एल्गोरिदम होते हैं.
`steps.jwt.AlgorithmMismatch`	401	जनरेट करने की नीति में बताए गए एल्गोरिदम, पुष्टि करने की नीति में मौजूद एल्गोरिदम से मेल नहीं खाते. तय किए गए एल्गोरिदम मेल खाने चाहिए.
`steps.jwt.FailedToDecode`	401	नीति, JWT को डिकोड नहीं कर सकी. JWT शायद खराब है.
`steps.jwt.GenerationFailed`	401	नीति, JWT जनरेट नहीं कर सकी.
`steps.jwt.InsufficientKeyLength`	401	HS256 एल्गोरिदम के लिए 32 बाइट से कम की कुंजी के लिए, HS386 एल्गोरिदम के लिए 48 बाइट से कम और HS512 एल्गोरिदम के लिए 64 बाइट से कम की कुंजी के लिए.
`steps.jwt.InvalidClaim`	401	ऐसा दावा जो मौजूद नहीं है या दावे से मेल नहीं खाता, या हेडर या हेडर मेल नहीं खाता.
`steps.jwt.InvalidCurve`	401	कुंजी से तय किया गया कर्व, एलिप्टिक कर्व एल्गोरिदम के लिए मान्य नहीं है.
`steps.jwt.InvalidJsonFormat`	401	हेडर या पेलोड में अमान्य JSON मिला है.
`steps.jwt.InvalidToken`	401	यह गड़बड़ी तब होती है, जब JWT हस्ताक्षर की पुष्टि नहीं हो पाती.
`steps.jwt.JwtAudienceMismatch`	401	टोकन की पुष्टि नहीं करने पर ऑडियंस क्लेम नहीं किया जा सका.
`steps.jwt.JwtIssuerMismatch`	401	टोकन की पुष्टि करने के दौरान, कार्ड जारी करने वाले बैंक या कंपनी का दावा नहीं किया जा सका.
`steps.jwt.JwtSubjectMismatch`	401	टोकन की पुष्टि नहीं होने की वजह से, विषय पर दावा नहीं किया जा सका.
`steps.jwt.KeyIdMissing`	401	पुष्टि करने की नीति, सार्वजनिक कुंजियों के लिए सोर्स के तौर पर JWKS का इस्तेमाल करती है, लेकिन हस्ताक्षर किए गए JWT में हेडर में `kid` प्रॉपर्टी शामिल नहीं होती.
`steps.jwt.KeyParsingFailed`	401	सार्वजनिक कुंजी को दी गई कुंजी से पार्स नहीं किया जा सका.
`steps.jwt.NoAlgorithmFoundInHeader`	401	ऐसा तब होता है, जब JWT में कोई एल्गोरिदम हेडर नहीं होता.
`steps.jwt.NoMatchingPublicKey`	401	पुष्टि करने की नीति, सार्वजनिक कुंजियों के लिए सोर्स के तौर पर JWKS का इस्तेमाल करती है. हालांकि, साइन किए गए JWT में मौजूद `kid`, JWKS की सूची में शामिल नहीं है.
`steps.jwt.SigningFailed`	401	GenJWT में, HS384 या HS512 एल्गोरिदम के लिए तय की गई सबसे कम साइज़ से कम कुंजी के लिए
`steps.jwt.TokenExpired`	401	नीति ऐसे टोकन की पुष्टि करने की कोशिश करती है जिसकी समयसीमा खत्म हो चुकी है.
`steps.jwt.TokenNotYetValid`	401	टोकन अभी तक मान्य नहीं है.
`steps.jwt.UnhandledCriticalHeader`	401	`crit` हेडर में, ‘JWT की पुष्टि करें’ नीति से मिले हेडर की जानकारी `KnownHeaders` में नहीं दी गई है.
`steps.jwt.UnknownException`	401	एक अज्ञात अपवाद हुआ.
`steps.jwt.WrongKeyType`	401	कुंजी का गलत प्रकार बताया गया. उदाहरण के लिए, अगर आपने एलिप्टिक कर्व एल्गोरिदम के लिए आरएसए कुंजी या आरएसए एल्गोरिदम के लिए कोई कर्व कुंजी तय की है.

डिप्लॉयमेंट से जुड़ी गड़बड़ियां

ये गड़बड़ियां तब हो सकती हैं, जब इस नीति वाले किसी प्रॉक्सी को डिप्लॉय किया जाता है.

गड़बड़ी का नाम	वजह	समाधान
`InvalidNameForAdditionalClaim`	अगर `<AdditionalClaims>` एलिमेंट के चाइल्ड एलिमेंट `<Claim>` में इस्तेमाल किया गया दावा, इनमें से कोई एक रजिस्टर किया गया नाम है, तो डिप्लॉयमेंट नहीं हो पाएगा: `kid`, `iss`, `sub`, `aud`, `iat`, `exp`, `nbf` या `jti`.
`InvalidTypeForAdditionalClaim`	अगर `<AdditionalClaims>` एलिमेंट के चाइल्ड एलिमेंट `<Claim>` में इस्तेमाल किया गया दावा `string`, `number`, `boolean` या `map` टाइप का नहीं है, तो डिप्लॉयमेंट नहीं हो पाएगा.
`MissingNameForAdditionalClaim`	अगर `<AdditionalClaims>` एलिमेंट के चाइल्ड एलिमेंट `<Claim>` में दावे का नाम नहीं बताया गया है, तो डिप्लॉयमेंट की प्रोसेस पूरी नहीं हो पाएगी.
`InvalidNameForAdditionalHeader`	यह गड़बड़ी तब होती है, जब `<AdditionalClaims>` एलिमेंट के चाइल्ड एलिमेंट `<Claim>` में इस्तेमाल किए गए दावे का नाम `alg` या `typ` होता है.
`InvalidTypeForAdditionalHeader`	अगर `<AdditionalClaims>` एलिमेंट के चाइल्ड एलिमेंट `<Claim>` में इस्तेमाल किए गए दावे का टाइप `string`, `number`, `boolean` या `map` नहीं है, तो डिप्लॉयमेंट की प्रोसेस रद्द नहीं होगी.
`InvalidValueOfArrayAttribute`	यह गड़बड़ी तब होती है, जब `<AdditionalClaims>` एलिमेंट के चाइल्ड एलिमेंट `<Claim>` में ऐरे एट्रिब्यूट की वैल्यू, `true` या `false` पर सेट न की गई हो.
`InvalidConfigurationForActionAndAlgorithm`	अगर `<PrivateKey>` एलिमेंट का इस्तेमाल एचएस फ़ैमिली एल्गोरिदम के साथ किया गया है या `<SecretKey>` एलिमेंट का इस्तेमाल आरएसए फ़ैमिली एल्गोरिदम के साथ किया गया है, तो डिप्लॉयमेंट काम नहीं करेगा.
`InvalidValueForElement`	अगर `<Algorithm>` एलिमेंट में दी गई वैल्यू, इस्तेमाल की जा सकने वाली वैल्यू नहीं है, तो डिप्लॉयमेंट काम नहीं करेगा.
`MissingConfigurationElement`	यह गड़बड़ी तब होती है, जब `<PrivateKey>` एलिमेंट का इस्तेमाल आरएसए फ़ैमिली एल्गोरिदम के साथ न किया गया हो या `<SecretKey>` एलिमेंट का इस्तेमाल एचएस फ़ैमिली एल्गोरिदम के साथ न किया गया हो.
`InvalidKeyConfiguration`	अगर `<PrivateKey>` या `<SecretKey>` एलिमेंट में चाइल्ड एलिमेंट `<Value>` के बारे में नहीं बताया गया है, तो डिप्लॉयमेंट नहीं हो पाएगा.
`EmptyElementForKeyConfiguration`	अगर `<PrivateKey>` या `<SecretKey>` एलिमेंट के चाइल्ड एलिमेंट `<Value>` का रेफ़रंस एट्रिब्यूट खाली है या इसके बारे में नहीं बताया गया है, तो डिप्लॉयमेंट काम नहीं करेगा.
`InvalidVariableNameForSecret`	यह गड़बड़ी तब होती है, जब `<PrivateKey>` या `<SecretKey>` एलिमेंट के चाइल्ड एलिमेंट `<Value>` के ref एट्रिब्यूट में दिए गए फ़्लो वैरिएबल के नाम में निजी प्रीफ़िक्स `(private.)` शामिल न हो.
`InvalidSecretInConfig`	यह गड़बड़ी तब होती है, जब `<PrivateKey>` या `<SecretKey>` एलिमेंट के चाइल्ड एलिमेंट `<Value>` में निजी प्रीफ़िक्स `(private.)` शामिल न हो.
`InvalidTimeFormat`	अगर `<NotBefore>` एलिमेंट में दी गई वैल्यू, काम करने वाले फ़ॉर्मैट का इस्तेमाल नहीं करती है, तो डिप्लॉयमेंट काम नहीं करेगा.

गड़बड़ी वाले वैरिएबल

रनटाइम में कोई गड़बड़ी होने पर ये वैरिएबल सेट किए जाते हैं. ज़्यादा जानकारी के लिए, नीति से जुड़ी गड़बड़ियों के बारे में आपके लिए ज़रूरी जानकारी देखें.

वैरिएबल	जगह	उदाहरण
`fault.name="fault_name"`	`fault_name`, गड़बड़ी का नाम है, जैसा कि ऊपर रनटाइम की गड़बड़ियां टेबल में दिया गया है. गड़बड़ी का नाम, गड़बड़ी के कोड का आखिरी हिस्सा होता है.	`fault.name Matches "TokenExpired"`
`JWT.failed`	सफल न होने पर, JWT की सभी नीतियों के लिए एक जैसा वैरिएबल सेट किया जाता है.	`JWT.failed = true`

गड़बड़ी के जवाब का उदाहरण

JWT नीति के गड़बड़ी कोड

गड़बड़ी को ठीक करने के लिए, सबसे सही तरीका यह है कि आप गड़बड़ी के रिस्पॉन्स के errorcode वाले हिस्से को फंसा दें. faultstring के टेक्स्ट पर भरोसा न करें, क्योंकि यह बदल सकता है.

गड़बड़ी के नियम का उदाहरण

    <FaultRules>
        <FaultRule name="JWT Policy Errors">
            <Step>
                <Name>JavaScript-1</Name>
                <Condition>(fault.name Matches "TokenExpired")</Condition>
            </Step>
            <Condition>JWT.failed=true</Condition>
        </FaultRule>
    </FaultRules>