Kebijakan GenerateJWT

Anda sedang melihat dokumentasi Apigee Edge.
Lihat dokumentasi Apigee X.

Apa

Menghasilkan JWT yang ditandatangani, dengan kumpulan klaim yang dapat dikonfigurasi. JWT kemudian dapat ditampilkan ke klien, ditransmisikan ke target backend, atau digunakan dengan cara lain. Lihat Ringkasan kebijakan JWS dan JWT untuk pengantar mendetail.

Video

Tonton video singkat untuk mempelajari cara membuat JWT yang ditandatangani.

Sample

Membuat JWT yang ditandatangani dengan algoritme HS256

Contoh kebijakan ini menghasilkan JWT baru dan menandatanganinya menggunakan algoritme HS256. HS256 mengandalkan rahasia bersama untuk menandatangani dan memverifikasi tanda tangan.

Saat tindakan kebijakan ini dipicu, Edge akan mengenkode header dan payload JWT, lalu menandatangani JWT secara digital. Lihat video di atas untuk contoh lengkap, termasuk cara membuat permintaan terhadap kebijakan.

Konfigurasi kebijakan di sini akan membuat JWT dengan serangkaian klaim standar seperti yang ditentukan oleh spesifikasi JWT, termasuk masa berlaku 1 jam, serta klaim tambahan. Anda dapat menyertakan klaim tambahan sebanyak yang diinginkan. Lihat referensi Elemen untuk mengetahui detail tentang persyaratan dan opsi bagi setiap elemen dalam kebijakan contoh ini.

<GenerateJWT name="JWT-Generate-HS256">
    <DisplayName>JWT Generate HS256</DisplayName>
    <Algorithm>HS256</Algorithm>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <SecretKey>
        <Value ref="private.secretkey"/>
        <Id>1918290</Id>
    </SecretKey>
    <ExpiresIn>1h</ExpiresIn>
    <Subject>monty-pythons-flying-circus</Subject>
    <Issuer>urn://apigee-edge-JWT-policy-test</Issuer>
    <Audience>fans</Audience>
    <Id/>
    <AdditionalClaims>
        <Claim name="show">And now for something completely different.</Claim>
    </AdditionalClaims>
    <OutputVariable>jwt-variable</OutputVariable>
</GenerateJWT>

JWT yang dihasilkan akan memiliki header ini ...

{
  "typ" : "JWT", 
  "alg" : "HS256",
  "kid" : "1918290"
}

... dan akan memiliki payload dengan konten seperti ini:

{ 
  "sub" : "monty-pythons-flying-circus",
  "iss" : "urn://apigee-edge-JWT-policy-test",
  "aud" : "show",
  "iat" : 1506553019,
  "exp" : 1506556619,
  "jti" : "BD1FF263-3D25-4593-A685-5EC1326E1F37",
  "show": "And now for something completely different."
}

Nilai klaim iat, exp, dan jti akan bervariasi.

Membuat JWT yang ditandatangani dengan algoritme RS256

Contoh kebijakan ini menghasilkan JWT baru dan menandatanganinya menggunakan algoritme RS256. Pembuatan tanda tangan RS256 bergantung pada kunci pribadi RSA, yang harus diberikan dalam bentuk yang dienkode dengan PEM. Lihat video di atas untuk contoh lengkap, termasuk cara membuat permintaan terhadap kebijakan.

Saat tindakan kebijakan ini dipicu, Edge mengenkode dan menandatangani JWT secara digital, termasuk klaim. Untuk mempelajari bagian-bagian JWT dan cara enkripsi serta penandatanganannya, lihat RFC7519.

<GenerateJWT name="JWT-Generate-RS256">
    <Algorithm>RS256</Algorithm>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <PrivateKey>
        <Value ref="private.privatekey"/>
        <Password ref="private.privatekey-password"/>
        <Id ref="private.privatekey-id"/>
    </PrivateKey>
    <Subject>apigee-seattle-hatrack-montage</Subject>
    <Issuer>urn://apigee-edge-JWT-policy-test</Issuer>
    <Audience>urn://c60511c0-12a2-473c-80fd-42528eb65a6a</Audience>
    <ExpiresIn>60m</ExpiresIn>
    <Id/>
    <AdditionalClaims>
        <Claim name="show">And now for something completely different.</Claim>
    </AdditionalClaims>
    <OutputVariable>jwt-variable</OutputVariable>
</GenerateJWT>

Menetapkan elemen utama

Elemen yang Anda gunakan untuk menentukan kunci yang digunakan untuk membuat JWT bergantung pada algoritme yang dipilih, seperti yang ditunjukkan pada tabel berikut:

Algorithm Elemen utama
HS{256/384/512}*
<SecretKey>
  <Value ref="private.secretkey"/>
  <Id>1918290</Id>
</SecretKey>
RS/PS/ES{256/384/512}*
<PrivateKey>
  <Value ref="private.privatekey"/>
  <Password ref="private.privatekey-password"/>
  <Id ref="private.privatekey-id"/>
</PrivateKey>

Elemen <Password> dan <Id> bersifat opsional.

*Untuk mengetahui persyaratan utama selengkapnya, lihat Tentang algoritme enkripsi tanda tangan.

Referensi elemen untuk Generate JWT

Referensi kebijakan menjelaskan elemen dan atribut kebijakan Generate JWT.

Catatan: Konfigurasi akan sedikit berbeda bergantung pada algoritme enkripsi yang Anda gunakan. Lihat Contoh untuk contoh yang menunjukkan konfigurasi untuk kasus penggunaan tertentu.

Atribut yang berlaku untuk elemen tingkat atas

<GenerateJWT name="JWT" continueOnError="false" enabled="true" async="false">

Atribut berikut sama untuk semua elemen induk kebijakan.

Atribut Deskripsi Default Kehadiran
nama Nama internal kebijakan. Karakter yang dapat Anda gunakan dalam nama dibatasi untuk: A-Z0-9._\-$ %. Namun, UI pengelolaan Edge menerapkan batasan tambahan, seperti menghapus karakter yang bukan alfanumerik secara otomatis.

Secara opsional, gunakan elemen <displayname></displayname> untuk memberi label kebijakan di editor proxy UI pengelolaan dengan nama bahasa natural yang berbeda.

T/A Wajib diisi
ContinueOnError Tetapkan ke false untuk menampilkan error saat kebijakan gagal. Hal ini wajar untuk sebagian besar kebijakan.

Tetapkan ke true agar eksekusi flow dapat dilanjutkan bahkan setelah kebijakan gagal.

false Opsional
diaktifkan Tetapkan ke true untuk menerapkan kebijakan.

Tetapkan ke false untuk "menonaktifkan" kebijakan. Kebijakan ini tidak akan diberlakukan meskipun tetap disertakan ke alur.

true Opsional
asinkron Atribut ini tidak digunakan lagi. false Tidak digunakan lagi

<NamaTampilan>

<DisplayName>Policy Display Name</DisplayName>

Selain atribut nama untuk memberi label pada kebijakan di editor proxy UI pengelolaan dengan nama natural language yang berbeda.

Default Jika Anda menghilangkan elemen ini, nilai atribut nama kebijakan akan digunakan.
Kehadiran Opsional
Jenis String

<Algoritme>

<Algorithm>algorithm-here</Algorithm>

Menentukan algoritme enkripsi untuk menandatangani token.

Default T/A
Kehadiran Wajib diisi
Jenis String
Nilai yang valid HS256, HS384, HS512, RS256, RS384, RS512, ES256, ES384, ES512, PS256, PS384, PS512

<Audiens>

<Audience>audience-here</Audience>

or:

<Audience ref='variable_containing_audience'/>

Kebijakan ini menghasilkan JWT yang berisi klaim aud yang ditetapkan ke nilai yang ditentukan. Klaim ini mengidentifikasi penerima yang menjadi tujuan JWT. Ini adalah salah satu klaim terdaftar yang disebutkan dalam RFC7519.

Default T/A
Kehadiran Opsional
Jenis Array (daftar nilai yang dipisahkan koma)
Nilai yang valid Apa pun yang mengidentifikasi audiens.

<Klaim/Klaim Tambahan>

<AdditionalClaims>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
</AdditionalClaims>

or:

<AdditionalClaims ref='claim_payload'/>

Memungkinkan Anda menentukan pasangan nama/nilai klaim tambahan dalam payload JWT. Anda dapat menetapkan klaim secara eksplisit sebagai string, angka, boolean, peta, atau array. Peta hanyalah sekumpulan pasangan nama/nilai.

Default T/A
Kehadiran Opsional
Nilai yang valid Nilai apa pun yang ingin Anda gunakan untuk klaim tambahan. Anda dapat menetapkan klaim secara eksplisit sebagai string, angka, boolean, peta, atau array.

Elemen <Claim> menggunakan atribut berikut:

  • name - (Wajib) Nama klaim.
  • ref - (Opsional) Nama variabel alur. Jika ada, kebijakan akan menggunakan nilai variabel ini sebagai klaim. Jika atribut ref dan nilai klaim eksplisit ditentukan, nilai eksplisitnya akan menjadi default, dan digunakan jika variabel alur yang direferensikan belum diselesaikan.
  • type - (Opsional) Salah satu dari: string (default), angka, boolean, atau peta
  • array - (Opsional) Tetapkan ke true untuk menunjukkan apakah nilainya adalah array jenis. Default: false (salah).

Saat Anda menyertakan elemen <Claim>, nama klaim ditetapkan secara statis saat Anda mengonfigurasi kebijakan. Atau, Anda dapat meneruskan objek JSON untuk menentukan nama klaim. Karena objek JSON diteruskan sebagai variabel, nama klaim di JWT yang dihasilkan ditentukan saat runtime.

Contoh:

<AdditionalClaims ref='json_claims'/>

Dengan variabel json_claims berisi objek JSON dalam bentuk:

{
  "sub" : "person@example.com",
  "iss" : "urn://secure-issuer@example.com",
  "non-registered-claim" : {
    "This-is-a-thing" : 817,
    "https://example.com/foobar" : { "p": 42, "q": false }
  }
}

JWT yang dihasilkan mencakup semua klaim dalam objek JSON.

<AdditionalHeader/Klaim>

<AdditionalHeaders>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
    <Claim name='claim4' ref='variable-name' type='string' array='true'/>
 </AdditionalHeaders>

Memasukkan pasangan nama/nilai klaim tambahan di header untuk JWT.

Default T/A
Kehadiran Opsional
Nilai yang valid Nilai apa pun yang ingin Anda gunakan untuk klaim tambahan. Anda dapat menetapkan klaim secara eksplisit sebagai string, angka, boolean, peta, atau array.

Elemen <Claim> menggunakan atribut berikut:

  • name - (Wajib) Nama klaim.
  • ref - (Opsional) Nama variabel alur. Jika ada, kebijakan akan menggunakan nilai variabel ini sebagai klaim. Jika atribut ref dan nilai klaim eksplisit ditentukan, nilai eksplisitnya akan menjadi default, dan digunakan jika variabel alur yang direferensikan belum diselesaikan.
  • type - (Opsional) Salah satu dari: string (default), angka, boolean, atau peta
  • array - (Opsional) Tetapkan ke true untuk menunjukkan apakah nilainya adalah array jenis. Default: false (salah).

<PentingHeader>

<CriticalHeaders>a,b,c</CriticalHeaders>

or:

<CriticalHeaders ref=’variable_containing_headers’/>

Menambahkan header penting, crit, ke header JWT. Header crit adalah array nama header yang harus diketahui dan dikenali oleh penerima JWT. Contoh:

{
  “typ: “...”,
  “alg” : “...”,
  “crit” : [ “a”, “b”, “c” ],
}

Saat runtime, kebijakan VerifyJWT memeriksa header crit. Untuk setiap item yang tercantum dalam header crit, pemeriksaan akan memastikan bahwa elemen <KnownHeaders> dari kebijakan VerifyJWT juga mencantumkan header tersebut. Header apa pun yang ditemukan oleh kebijakan VerifyJWT dalam crit yang tidak tercantum dalam <KnownHeaders> akan menyebabkan kebijakan VerifyJWT gagal.

Default T/A
Kehadiran Opsional
Jenis Array string yang dipisahkan koma
Nilai yang valid Array atau nama variabel yang berisi array.

<CustomKlaims>

Catatan: Saat ini, elemen CustomClaims disisipkan saat Anda menambahkan kebijakan GenerateJWT baru melalui UI. Elemen ini tidak berfungsi dan akan diabaikan. Elemen yang benar untuk digunakan adalah <AdditionalClaims>. UI akan diperbarui untuk memasukkan elemen yang benar di lain waktu.

<ExpiresIn>

<ExpiresIn>time-value-here</ExpiresIn>

Menentukan masa aktif JWT dalam milidetik, detik, menit, jam, atau hari.

Default N/A
Kehadiran Opsional
Jenis Bilangan bulat
Nilai yang valid

Nilai atau referensi ke variabel flow yang berisi nilai. Satuan waktu dapat ditentukan sebagai berikut:

  • md = milidetik (default)
  • s = detik
  • m = menit
  • h = jam
  • d = hari

Misalnya, ExpiresIn=10d setara dengan ExpiresIn 864000.

<ID>

<Id>explicit-jti-value-here</Id>
 -or-
<Id ref='variable-name-here'/>
 -or-
<Id/>

Menghasilkan JWT dengan klaim jti tertentu. Jika nilai teks dan atribut ref kosong, kebijakan ini akan menghasilkan jti yang berisi UUID acak. Klaim JWT (jti) adalah ID unik untuk JWT. Untuk informasi selengkapnya tentang jti, lihat RFC7519.

Default T/A
Kehadiran Opsional
Jenis String, atau referensi.
Nilai yang valid String atau nama variabel alur yang berisi ID.

<AbaikanUnresolvedVariables>

<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>

Tetapkan ke false jika Anda ingin kebijakan ini menampilkan error saat variabel yang direferensikan yang ditentukan dalam kebijakan tidak dapat diselesaikan. Tetapkan ke true untuk memperlakukan variabel yang tidak dapat diselesaikan sebagai string kosong (null).

Default Salah
Kehadiran Opsional
Jenis Boolean
Nilai yang valid benar atau salah

<Penerbit>

<Issuer ref='variable-name-here'/>
<Issuer>issuer-string-here</Issuer>

Kebijakan ini menghasilkan JWT yang berisi klaim dengan nama iss, dengan nilai yang ditetapkan ke nilai yang ditentukan. Klaim yang mengidentifikasi penerbit JWT. Ini adalah salah satu dari kumpulan klaim terdaftar yang disebutkan dalam RFC7519.

Default T/A
Kehadiran Opsional
Jenis String, atau referensi
Nilai yang valid Mana saja

<NotBefore>

<!-- Specify an absolute time. -->
<NotBefore>2017-08-14T11:00:21-07:00</NotBefore>
 -or-
<!-- Specify a time relative to when the token is generated. -->
<NotBefore>6h</NotBefore>

Menentukan waktu saat token menjadi valid. Token tidak valid hingga waktu yang ditentukan. Anda dapat menentukan nilai waktu absolut, atau waktu yang relatif terhadap waktu token dibuat.

Default T/A
Kehadiran Opsional
Jenis String
Nilai yang valid Lihat di bawah.

Nilai waktu yang valid untuk elemen NotBefore untuk nilai waktu absolut

Name Format Contoh
dapat diurutkan yyyy-MM-dd'T'HH:mm:ss.SSSZ 2017-08-14T11.00.21.269-0700
RFC-1123 EEE, dd MMM yyyy HH:mm:ss zzz Sen, 14 Agu 2017 11.00.21 PDT
RFC 850 EEEE, dd-MMM-yy HH:mm:ss zzz Senin, 14-Agu-17, 11.00.21 PDT
ANCI-C EEE MMM d HH:mm:ss yyyy Sen 14 Agustus 11:00:21 2017

Untuk nilai waktu relatif, tentukan bilangan bulat dan jangka waktu, misalnya:

  • 10 dtk
  • 60m
  • 12 j

<VariabelOutput>

<OutputVariable>jwt-variable</OutputVariable>

Menentukan lokasi untuk menempatkan JWT yang dihasilkan oleh kebijakan ini. Secara default, variabel ini ditempatkan ke dalam variabel flow jwt.POLICYNAME.generated_jwt.

Default jwt.POLICYNAME.generated_jwt
Kehadiran Opsional
Jenis String (nama variabel flow)

<PrivateKey/Id>

<PrivateKey>
  <Id ref="flow-variable-name-here"/>
</PrivateKey>

or

<PrivateKey>
  <Id>your-id-value-here</Id>
</PrivateKey>

Menentukan ID kunci (anak) yang akan disertakan di header JWT. Gunakan hanya jika algoritme-nya adalah salah satu dari RS256/RS384/RS512, PS256/PS384/PS512, atau ES256/ES384/ES512.

Default T/A
Kehadiran Opsional
Jenis String
Nilai yang valid Variabel atau string alur

<PrivateKey/Sandi>

<PrivateKey>
  <Password ref="private.privatekey-password"/>
</PrivateKey>

Tentukan sandi yang harus digunakan oleh kebijakan untuk mendekripsi kunci pribadi, jika diperlukan. Gunakan atribut ref untuk meneruskan kunci dalam variabel flow. Gunakan hanya jika algoritme-nya adalah salah satu dari RS256/RS384/RS512, PS256/PS384/PS512, atau ES256/ES384/ES512.

Default T/A
Kehadiran Opsional
Jenis String
Nilai yang valid Referensi variabel flow.

Catatan: Anda harus menentukan variabel alur. Edge akan menolak konfigurasi kebijakan yang tidak valid saat sandi ditentukan dalam teks biasa. Variabel flow harus memiliki awalan "private". Misalnya, private.mypassword

<PrivateKey/Nilai>

<PrivateKey>
  <Value ref="private.variable-name-here"/>
</PrivateKey>

Menentukan kunci pribadi berenkode PEM yang digunakan untuk menandatangani JWT. Gunakan atribut ref untuk meneruskan kunci dalam variabel flow. Hanya gunakan saat algoritme adalah salah satu dari RS256/RS384/RS512, PS256/PS384/PS512, atau ES256/ES384/ES512.

Default T/A
Kehadiran Diperlukan untuk menghasilkan JWT menggunakan algoritme RS256.
Jenis String
Nilai yang valid Variabel flow berisi string yang merepresentasikan nilai kunci pribadi RSA berenkode PEM.

Catatan: Variabel flow harus memiliki awalan "private". Contoh, private.mykey

<SecretKey/Id>

<SecretKey>
  <Id ref="flow-variable-name-here"/>
</SecretKey>

or

<SecretKey>
  <Id>your-id-value-here</Id>
</SecretKey>

Menentukan ID kunci (anak) yang akan disertakan dalam header JWT dari JWT yang ditandatangani dengan algoritme HMAC. Gunakan hanya jika algoritme-nya adalah salah satu dari HS256/HS384/HS512.

Default T/A
Kehadiran Opsional
Jenis String
Nilai yang valid Variabel atau string alur

<Kunci/Kunci Rahasia>

<SecretKey>
  <Value ref="private.your-variable-name"/>
</SecretKey>

Menyediakan kunci rahasia yang digunakan untuk memverifikasi atau menandatangani token dengan algoritme HMAC. Gunakan hanya jika algoritme-nya adalah salah satu dari HS256/HS384/HS512. Gunakan atribut ref untuk meneruskan kunci dalam variabel flow.

Edge menerapkan kekuatan kunci minimum untuk algoritme HS256/HS384/HS512. Panjang kunci minimum untuk HS256 adalah 32 byte, untuk HS384 adalah 48 byte, dan untuk HS512 adalah 64 byte. Penggunaan kunci dengan kekuatan yang lebih rendah akan menyebabkan error runtime.

Default T/A
Kehadiran Diperlukan untuk algoritme HMAC.
Jenis String
Nilai yang valid Variabel flow yang merujuk ke string

Catatan: Jika variabel flow, variabel tersebut harus memiliki awalan "pribadi". Misalnya, private.mysecret

<Subjek>

<Subject>subject-string-here</Subject>
atau
<Subject ref="flow_variable" />

Contoh:

<Subject ref="apigee.developer.email"/>

Kebijakan ini menghasilkan JWT yang berisi klaim sub, yang ditetapkan ke nilai yang ditentukan.Klaim ini mengidentifikasi atau membuat pernyataan tentang subjek JWT. Ini adalah salah satu dari kumpulan klaim standar yang disebutkan dalam RFC7519.

Default T/A
Kehadiran Opsional
Jenis String
Nilai yang valid Setiap nilai yang secara unik mengidentifikasi subjek atau variabel alur yang merujuk ke sebuah nilai.

Variabel flow

Kebijakan Generate JWT tidak menetapkan variabel flow.

Referensi error

Bagian ini menjelaskan kode kesalahan dan pesan error yang dikembalikan, serta variabel kesalahan yang disetel oleh Edge saat kebijakan ini memicu error. Informasi ini penting untuk diketahui jika Anda mengembangkan aturan fault untuk menangani fault. Untuk mempelajari lebih lanjut, lihat Yang perlu Anda ketahui tentang error kebijakan dan Menangani kesalahan.

Error runtime

Error ini dapat terjadi saat kebijakan dijalankan.

Kode kesalahan Status HTTP Terjadi saat
steps.jwt.AlgorithmInTokenNotPresentInConfiguration 401 Terjadi saat kebijakan verifikasi memiliki beberapa algoritme.
steps.jwt.AlgorithmMismatch 401 Algoritme yang ditentukan dalam kebijakan Generate tidak cocok dengan yang diharapkan dalam kebijakan Verifikasi. Algoritme yang ditentukan harus cocok.
steps.jwt.FailedToDecode 401 Kebijakan ini tidak dapat mendekode JWT. JWT mungkin rusak.
steps.jwt.GenerationFailed 401 Kebijakan tidak dapat menghasilkan JWT.
steps.jwt.InsufficientKeyLength 401 Untuk kunci kurang dari 32 byte untuk algoritme HS256, kurang dari 48 byte untuk algoritme HS386, dan kurang dari 64 byte untuk algoritme HS512.
steps.jwt.InvalidClaim 401 Untuk klaim yang tidak ada atau ketidakcocokan klaim, atau header atau ketidakcocokan header yang hilang.
steps.jwt.InvalidCurve 401 Kurva yang ditentukan oleh kunci tidak valid untuk algoritme Kurva Elliptik.
steps.jwt.InvalidJsonFormat 401 JSON tidak valid ditemukan di header atau payload.
steps.jwt.InvalidToken 401 Error ini terjadi saat verifikasi tanda tangan JWT gagal.
steps.jwt.JwtAudienceMismatch 401 Klaim audiens gagal pada verifikasi token.
steps.jwt.JwtIssuerMismatch 401 Klaim penerbit gagal saat verifikasi token.
steps.jwt.JwtSubjectMismatch 401 Klaim subjek gagal pada verifikasi token.
steps.jwt.KeyIdMissing 401 Kebijakan Verifikasi menggunakan JWKS sebagai sumber untuk kunci publik, tetapi JWT yang ditandatangani tidak menyertakan properti kid di header.
steps.jwt.KeyParsingFailed 401 Kunci publik tidak dapat diuraikan dari informasi kunci yang diberikan.
steps.jwt.NoAlgorithmFoundInHeader 401 Terjadi saat JWT tidak berisi header algoritme.
steps.jwt.NoMatchingPublicKey 401 Kebijakan Verifikasi menggunakan JWKS sebagai sumber untuk kunci publik, tetapi kid di JWT yang ditandatangani tidak akan dicantumkan di JWKS.
steps.jwt.SigningFailed 401 Di GenerateJWT, untuk kunci yang kurang dari ukuran minimum untuk algoritme HS384 atau HS512
steps.jwt.TokenExpired 401 Kebijakan ini mencoba memverifikasi token yang masa berlakunya sudah habis.
steps.jwt.TokenNotYetValid 401 Token belum valid.
steps.jwt.UnhandledCriticalHeader 401 Header yang ditemukan oleh kebijakan Verify JWT dalam header crit tidak tercantum di KnownHeaders.
steps.jwt.UnknownException 401 Terjadi pengecualian yang tidak dikenal.
steps.jwt.WrongKeyType 401 Jenis kunci yang ditentukan salah. Misalnya, jika Anda menentukan kunci RSA untuk algoritme Elliptic Curve, atau kunci kurva untuk algoritme RSA.

Error deployment

Error ini dapat terjadi saat Anda men-deploy proxy yang berisi kebijakan ini.

Nama error Penyebab Perbaiki
InvalidNameForAdditionalClaim Deployment akan gagal jika klaim yang digunakan pada elemen turunan <Claim> dari elemen <AdditionalClaims> adalah salah satu dari nama terdaftar berikut: kid, iss, sub, aud, iat, exp, nbf, atau jti.
InvalidTypeForAdditionalClaim Jika klaim yang digunakan dalam elemen turunan <Claim> dari elemen <AdditionalClaims> bukan jenis string, number, boolean, atau map, deployment akan gagal.
MissingNameForAdditionalClaim Jika nama klaim tidak ditentukan dalam elemen turunan <Claim> dari elemen <AdditionalClaims>, deployment akan gagal.
InvalidNameForAdditionalHeader Error ini terjadi saat nama klaim yang digunakan dalam elemen turunan <Claim> dari elemen <AdditionalClaims> adalah alg atau typ.
InvalidTypeForAdditionalHeader Jika jenis klaim yang digunakan dalam elemen turunan <Claim> dari elemen <AdditionalClaims> bukan jenis string, number, boolean, atau map, deployment akan gagal.
InvalidValueOfArrayAttribute Error ini terjadi saat nilai atribut array dalam elemen turunan <Claim> dari elemen <AdditionalClaims> tidak ditetapkan ke true atau false.
InvalidConfigurationForActionAndAlgorithm Jika elemen <PrivateKey> digunakan dengan algoritme Keluarga HS atau elemen <SecretKey> digunakan dengan algoritme Keluarga RSA, deployment akan gagal.
InvalidValueForElement Jika nilai yang ditentukan dalam elemen <Algorithm> bukan nilai yang didukung, deployment akan gagal.
MissingConfigurationElement Error ini akan terjadi jika elemen <PrivateKey> tidak digunakan dengan algoritme kelompok RSA atau elemen <SecretKey> tidak digunakan dengan algoritme Keluarga HS.
InvalidKeyConfiguration Jika elemen turunan <Value> tidak ditentukan dalam elemen <PrivateKey> atau <SecretKey>, deployment akan gagal.
EmptyElementForKeyConfiguration Jika atribut referensi elemen turunan <Value> dari elemen <PrivateKey> atau <SecretKey> kosong atau tidak ditentukan, deployment akan gagal.
InvalidVariableNameForSecret Error ini terjadi jika nama variabel flow yang ditentukan dalam atribut ref elemen turunan <Value> dari elemen <PrivateKey> atau <SecretKey> tidak berisi awalan pribadi (private.).
InvalidSecretInConfig Error ini terjadi jika elemen turunan <Value> dari elemen <PrivateKey> atau <SecretKey> tidak berisi awalan pribadi (private.).
InvalidTimeFormat Jika nilai yang ditentukan dalam elemen <NotBefore> tidak menggunakan format yang didukung, deployment akan gagal.

Variabel kesalahan

Variabel ini ditetapkan saat terjadi error runtime. Untuk informasi selengkapnya, lihat Yang perlu Anda ketahui tentang error kebijakan.

Variabel Lokasi Contoh
fault.name="fault_name" fault_name adalah nama fault, seperti yang tercantum pada tabel Error runtime di atas. Nama fault adalah bagian terakhir dari kode fault. fault.name Matches "TokenExpired"
JWT.failed Semua kebijakan JWT menetapkan variabel yang sama jika terjadi kegagalan. JWT.failed = true

Contoh respons error

Kode Kesalahan Kebijakan JWT

Untuk penanganan error, praktik terbaiknya adalah dengan menangkap bagian errorcode dari respons error. Jangan mengandalkan teks di faultstring karena dapat berubah.

Contoh aturan kesalahan

    <FaultRules>
        <FaultRule name="JWT Policy Errors">
            <Step>
                <Name>JavaScript-1</Name>
                <Condition>(fault.name Matches "TokenExpired")</Condition>
            </Step>
            <Condition>JWT.failed=true</Condition>
        </FaultRule>
    </FaultRules>