Anda sedang melihat dokumentasi Apigee Edge.
Buka
dokumentasi Apigee X. info
Apa
Menghasilkan JWT yang ditandatangani, dengan kumpulan klaim yang dapat dikonfigurasi. JWT kemudian dapat ditampilkan ke klien, dikirim ke target backend, atau digunakan dengan cara lain. Lihat ringkasan kebijakan JWS dan JWT untuk pengantar yang mendetail.
Video
Tonton video singkat untuk mempelajari cara membuat JWT bertanda tangan.
Contoh
- Membuat JWT yang ditandatangani dengan algoritma HS256
- Membuat JWT yang ditandatangani dengan algoritma RS256
Buat JWT yang ditandatangani dengan algoritma HS256
Kebijakan contoh ini menghasilkan JWT baru dan menandatanganinya menggunakan algoritma HS256. HS256 mengandalkan rahasia bersama untuk penandatanganan dan verifikasi tanda tangan.
Saat tindakan kebijakan ini dipicu, Edge akan mengenkode header dan payload JWT, lalu menandatangani JWT secara digital. Lihat video di atas untuk mengetahui contoh lengkap, termasuk cara mengajukan permintaan terkait kebijakan.
Konfigurasi kebijakan di sini akan membuat JWT dengan serangkaian klaim standar seperti yang ditetapkan oleh spesifikasi JWT, termasuk masa berlaku selama 1 jam, serta klaim tambahan. Anda dapat menyertakan klaim tambahan sebanyak yang diinginkan. Lihat referensi Elemen untuk mengetahui detail tentang persyaratan dan opsi untuk setiap elemen dalam kebijakan contoh ini.
<GenerateJWT name="JWT-Generate-HS256">
<DisplayName>JWT Generate HS256</DisplayName>
<Algorithm>HS256</Algorithm>
<IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
<SecretKey>
<Value ref="private.secretkey"/>
<Id>1918290</Id>
</SecretKey>
<ExpiresIn>1h</ExpiresIn>
<Subject>monty-pythons-flying-circus</Subject>
<Issuer>urn://apigee-edge-JWT-policy-test</Issuer>
<Audience>fans</Audience>
<Id/>
<AdditionalClaims>
<Claim name="show">And now for something completely different.</Claim>
</AdditionalClaims>
<OutputVariable>jwt-variable</OutputVariable>
</GenerateJWT>
JWT yang dihasilkan akan memiliki header ini ...
{
"typ" : "JWT",
"alg" : "HS256",
"kid" : "1918290"
}
... dan akan memiliki payload dengan isi seperti ini:
{
"sub" : "monty-pythons-flying-circus",
"iss" : "urn://apigee-edge-JWT-policy-test",
"aud" : "show",
"iat" : 1506553019,
"exp" : 1506556619,
"jti" : "BD1FF263-3D25-4593-A685-5EC1326E1F37",
"show": "And now for something completely different."
}
Nilai klaim iat, exp, dan jti akan bervariasi.
Membuat JWT yang ditandatangani dengan algoritma RS256
Kebijakan contoh ini menghasilkan JWT baru dan menandatanganinya menggunakan algoritma RS256. Pembuatan tanda tangan RS256 bergantung pada kunci pribadi RSA, yang harus disediakan dalam bentuk berenkode PEM. Lihat video di atas untuk mengetahui contoh lengkap, termasuk cara mengajukan permintaan terkait kebijakan.
Saat tindakan kebijakan ini dipicu, Edge akan mengenkode dan menandatangani JWT secara digital, termasuk klaim tersebut. Untuk mempelajari bagian-bagian JWT dan caranya dienkripsi dan ditandatangani, lihat RFC7519.
<GenerateJWT name="JWT-Generate-RS256">
<Algorithm>RS256</Algorithm>
<IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
<PrivateKey>
<Value ref="private.privatekey"/>
<Password ref="private.privatekey-password"/>
<Id ref="private.privatekey-id"/>
</PrivateKey>
<Subject>apigee-seattle-hatrack-montage</Subject>
<Issuer>urn://apigee-edge-JWT-policy-test</Issuer>
<Audience>urn://c60511c0-12a2-473c-80fd-42528eb65a6a</Audience>
<ExpiresIn>60m</ExpiresIn>
<Id/>
<AdditionalClaims>
<Claim name="show">And now for something completely different.</Claim>
</AdditionalClaims>
<OutputVariable>jwt-variable</OutputVariable>
</GenerateJWT>
Menetapkan elemen utama
Elemen yang Anda gunakan untuk menentukan kunci yang digunakan untuk menghasilkan JWT bergantung pada algoritme yang dipilih, seperti yang ditunjukkan pada tabel berikut:
| Algorithm | Elemen utama | |
|---|---|---|
| HS{256/384/512}* | <SecretKey> <Value ref="private.secretkey"/> <Id>1918290</Id> </SecretKey> |
|
| RS/PS/ES{256/384/512}* | <PrivateKey> <Value ref="private.privatekey"/> <Password ref="private.privatekey-password"/> <Id ref="private.privatekey-id"/> </PrivateKey> Elemen |
|
| *Untuk mengetahui informasi selengkapnya tentang persyaratan utama, lihat Tentang algoritma enkripsi tanda tangan. | ||
Referensi elemen untuk Membuat JWT
Referensi kebijakan menjelaskan elemen dan atribut kebijakan Buat JWT.
Catatan: Konfigurasi akan sedikit berbeda, tergantung algoritma enkripsi yang Anda gunakan. Lihat Contoh untuk mengetahui contoh yang menunjukkan konfigurasi untuk kasus penggunaan tertentu.
Atribut yang diterapkan pada elemen tingkat atas
<GenerateJWT name="JWT" continueOnError="false" enabled="true" async="false">
Atribut berikut bersifat umum untuk semua elemen induk kebijakan.
| Atribut | Deskripsi | Default | Kehadiran |
|---|---|---|---|
| name |
Nama internal kebijakan. Karakter yang dapat digunakan dalam nama dibatasi untuk:
A-Z0-9._\-$ %. Namun, UI pengelolaan Edge menerapkan pembatasan
tambahan, seperti otomatis menghapus karakter yang bukan alfanumerik.
Atau, gunakan elemen |
T/A | Wajib |
| continueOnError |
Setel ke false untuk menampilkan error jika kebijakan gagal. Ini adalah perilaku
yang wajar untuk sebagian besar kebijakan.
Setel ke |
false | Opsional |
| diaktifkan |
Setel ke true untuk menerapkan kebijakan.
Setel ke |
true | Opsional |
| async | Atribut ini sudah tidak digunakan lagi. | false | Tidak digunakan lagi |
<DisplayName>
<DisplayName>Policy Display Name</DisplayName>
Gunakan selain atribut nama untuk memberi label kebijakan di editor proxy UI pengelolaan dengan nama natural-language yang berbeda.
| Default | Jika Anda menghilangkan elemen ini, nilai atribut nama kebijakan akan digunakan. |
| Kehadiran | Opsional |
| Jenis | String |
<Algorithm>
<Algorithm>algorithm-here</Algorithm>
Menentukan algoritma enkripsi untuk menandatangani token.
| Default | T/A |
| Kehadiran | Wajib |
| Jenis | String |
| Nilai yang valid | HS256, HS384, HS512, RS256, RS384, RS512, ES256, ES384, ES512, PS256, PS384, PS512 |
<Audience>
<Audience>audience-here</Audience> or: <Audience ref='variable_containing_audience'/>
Kebijakan ini menghasilkan JWT yang berisi klaim aud yang ditetapkan ke nilai yang ditentukan. Klaim ini mengidentifikasi penerima yang menjadi tujuan JWT. Ini adalah salah satu klaim terdaftar yang disebutkan dalam RFC7519.
| Default | T/A |
| Kehadiran | Opsional |
| Jenis | Array (daftar nilai yang dipisahkan koma) |
| Nilai yang valid | Apa pun yang mengidentifikasi audiens. |
<Klaim/Klaim Tambahan>
<AdditionalClaims>
<Claim name='claim1'>explicit-value-of-claim-here</Claim>
<Claim name='claim2' ref='variable-name-here'/>
<Claim name='claim3' ref='variable-name-here' type='boolean'/>
</AdditionalClaims>
or:
<AdditionalClaims ref='claim_payload'/>
Memungkinkan Anda menentukan pasangan nama/nilai klaim tambahan dalam payload JWT. Anda dapat menentukan klaim secara eksplisit sebagai string, angka, boolean, peta, atau array. Peta hanyalah sekumpulan pasangan nama/nilai.
| Default | T/A |
| Kehadiran | Opsional |
| Nilai yang valid | Nilai apa pun yang ingin Anda gunakan untuk klaim tambahan. Anda dapat menentukan klaim secara eksplisit sebagai string, angka, boolean, peta, atau array. |
Elemen <Claim> menggunakan atribut berikut:
- name - (Wajib) Nama klaim.
- ref - (Opsional) Nama variabel flow. Jika ada, kebijakan akan menggunakan nilai variabel ini sebagai klaim. Jika atribut ref dan nilai klaim eksplisit ditentukan, nilai eksplisitnya adalah nilai default, dan digunakan jika variabel alur yang direferensikan tidak terselesaikan.
- type - (Opsional) Salah satu dari: string (default), angka, boolean, atau peta
- array - (Opsional) Tetapkan ke true untuk menunjukkan apakah nilai merupakan array jenis. Default: false.
Jika Anda menyertakan elemen <Claim>, nama klaim ditetapkan secara statis saat Anda mengonfigurasi kebijakan. Atau, Anda dapat meneruskan objek JSON untuk menentukan nama klaim.
Karena objek JSON diteruskan sebagai variabel, nama klaim dalam JWT yang dihasilkan ditentukan saat runtime.
Contoh:
<AdditionalClaims ref='json_claims'/>
Dengan variabel json_claims berisi objek JSON dalam bentuk:
{
"sub" : "person@example.com",
"iss" : "urn://secure-issuer@example.com",
"non-registered-claim" : {
"This-is-a-thing" : 817,
"https://example.com/foobar" : { "p": 42, "q": false }
}
}
JWT yang dihasilkan mencakup semua klaim dalam objek JSON.
<Header/Klaim Tambahan>
<AdditionalHeaders>
<Claim name='claim1'>explicit-value-of-claim-here</Claim>
<Claim name='claim2' ref='variable-name-here'/>
<Claim name='claim3' ref='variable-name-here' type='boolean'/>
<Claim name='claim4' ref='variable-name' type='string' array='true'/>
</AdditionalHeaders>
Menempatkan pasangan nama/nilai klaim tambahan di header untuk JWT.
| Default | T/A |
| Kehadiran | Opsional |
| Nilai yang valid | Nilai apa pun yang ingin Anda gunakan untuk klaim tambahan. Anda dapat menentukan klaim secara eksplisit sebagai string, angka, boolean, peta, atau array. |
Elemen <Claim> menggunakan atribut berikut:
- name - (Wajib) Nama klaim.
- ref - (Opsional) Nama variabel flow. Jika ada, kebijakan akan menggunakan nilai variabel ini sebagai klaim. Jika atribut ref dan nilai klaim eksplisit ditentukan, nilai eksplisitnya adalah nilai default, dan digunakan jika variabel alur yang direferensikan tidak terselesaikan.
- type - (Opsional) Salah satu dari: string (default), angka, boolean, atau peta
- array - (Opsional) Tetapkan ke true untuk menunjukkan apakah nilai merupakan array jenis. Default: false.
<CriticalHeaders>
<CriticalHeaders>a,b,c</CriticalHeaders> or: <CriticalHeaders ref=’variable_containing_headers’/>
Menambahkan header penting, crit, ke header JWT. Header crit adalah array nama header yang harus diketahui dan dikenali oleh penerima JWT. Contoh:
{
“typ: “...”,
“alg” : “...”,
“crit” : [ “a”, “b”, “c” ],
}
Saat runtime, kebijakan VerifyJWT memeriksa header crit.
Untuk setiap item yang tercantum dalam header crit, kode ini akan memeriksa apakah elemen <KnownHeaders> dalam kebijakan VerifyJWT juga mencantumkan header tersebut. Setiap header yang ditemukan oleh kebijakan VerifyJWT di crit
yang tidak tercantum dalam <KnownHeaders> akan menyebabkan kebijakan VerifyJWT gagal.
| Default | T/A |
| Kehadiran | Opsional |
| Jenis | Array string yang dipisahkan koma |
| Nilai yang valid | Baik array atau nama variabel yang berisi array. |
<CustomClaims>
Catatan: Saat ini, elemen CustomClaims disisipkan saat Anda menambahkan kebijakan GenerateJWT baru melalui UI. Elemen ini tidak berfungsi dan diabaikan. Elemen yang benar untuk digunakan adalah <AdditionalClaims>. UI akan diupdate untuk menyisipkan elemen yang benar di lain waktu.
<ExpiresIn>
<ExpiresIn>time-value-here</ExpiresIn>
Menentukan masa aktif JWT dalam milidetik, detik, menit, jam, atau hari.
| Default | N/A |
| Kehadiran | Opsional |
| Jenis | Bilangan Bulat |
| Nilai yang valid |
Nilai atau referensi ke variabel flow yang berisi nilai. Satuan waktu dapat ditentukan sebagai berikut:
Misalnya, |
<ID>
<Id>explicit-jti-value-here</Id> -or- <Id ref='variable-name-here'/> -or- <Id/>
Menghasilkan JWT dengan klaim jti tertentu. Jika nilai teks dan atribut referensi kosong, kebijakan akan membuat jti yang berisi UUID acak. Klaim ID JWT (jti) adalah ID unik untuk JWT. Untuk mengetahui informasi selengkapnya tentang jti, lihat RFC7519.
| Default | T/A |
| Kehadiran | Opsional |
| Jenis | String, atau referensi. |
| Nilai yang valid | String atau nama variabel flow yang berisi ID. |
<IgnoreUnresolvedVariables>
<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>
Tetapkan ke false jika Anda ingin kebijakan menampilkan error saat variabel yang direferensikan dan ditentukan dalam kebijakan tidak dapat diselesaikan. Tetapkan ke true untuk memperlakukan variabel yang tidak dapat di-resolve sebagai string kosong (null).
| Default | Salah |
| Kehadiran | Opsional |
| Jenis | Boolean |
| Nilai yang valid | benar atau salah |
<Issuer>
<Issuer ref='variable-name-here'/> <Issuer>issuer-string-here</Issuer>
Kebijakan ini akan menghasilkan JWT yang berisi klaim dengan nama iss, dengan nilai yang ditetapkan ke nilai yang ditentukan. Klaim yang mengidentifikasi penerbit JWT. Ini adalah salah satu dari serangkaian klaim terdaftar yang disebutkan dalam RFC7519.
| Default | T/A |
| Kehadiran | Opsional |
| Jenis | String, atau referensi |
| Nilai yang valid | Mana saja |
<NotBefore>
<!-- Specify an absolute time. --> <NotBefore>2017-08-14T11:00:21-07:00</NotBefore> -or- <!-- Specify a time relative to when the token is generated. --> <NotBefore>6h</NotBefore>
Menentukan waktu saat token menjadi valid. Token tidak valid sampai waktu yang ditentukan. Anda dapat menentukan nilai waktu absolut atau waktu yang relatif terhadap saat token dibuat.
| Default | T/A |
| Kehadiran | Opsional |
| Jenis | String |
| Nilai yang valid | Lihat di bawah. |
Nilai waktu yang valid untuk elemen NotBefore untuk nilai waktu absolut
| Nama | Format | Contoh |
| dapat diurutkan | yyyy-MM-dd'T'HH:mm:ss.SSSZ |
2017-08-14T11:00:21.269-0700 |
| RFC 1123 | EEE, dd MMM yyyy HH:mm:ss zzz |
Sen, 14 Agu 2017 11.00.21 PDT |
| RFC 850 | EEEE, dd-MMM-yy HH:mm:ss zzz |
Senin, 14-Agu-17 11:00:21 PDT |
| ANCI-C | EEE MMM d HH:mm:ss yyyy |
14 Agu 11:00:21 2017 |
Untuk nilai waktu relatif, tentukan bilangan bulat dan jangka waktu, misalnya:
- 10 dtk
- 60 mnt
- 12 j
<OutputVariable>
<OutputVariable>jwt-variable</OutputVariable>
Menentukan lokasi untuk menempatkan JWT yang dihasilkan oleh kebijakan ini. Secara default, kolom ini ditempatkan ke
variabel flow jwt.POLICYNAME.generated_jwt.
| Default | jwt.POLICYNAME.generated_jwt |
| Kehadiran | Opsional |
| Jenis | String (nama variabel flow) |
<PrivateKey/Id>
<PrivateKey> <Id ref="flow-variable-name-here"/> </PrivateKey> or <PrivateKey> <Id>your-id-value-here</Id> </PrivateKey>
Menentukan ID kunci (anak) untuk disertakan dalam header JWT. Hanya gunakan jika algoritmenya adalah salah satu dari RS256/RS384/RS512, PS256/PS384/PS512, atau ES256/ES384/ES512.
| Default | T/A |
| Kehadiran | Opsional |
| Jenis | String |
| Nilai yang valid | String atau variabel flow |
<PrivateKey/Password>
<PrivateKey> <Password ref="private.privatekey-password"/> </PrivateKey>
Tentukan sandi yang harus digunakan kebijakan untuk mendekripsi kunci pribadi, jika diperlukan. Gunakan atribut ref untuk meneruskan kunci dalam variabel flow. Hanya gunakan jika algoritmenya adalah salah satu dari RS256/RS384/RS512, PS256/PS384/PS512, atau ES256/ES384/ES512.
| Default | T/A |
| Kehadiran | Opsional |
| Jenis | String |
| Nilai yang valid |
Referensi variabel flow.
Catatan: Anda harus menentukan variabel flow. Edge akan menolak karena konfigurasi kebijakan yang sandinya ditentukan dalam teks biasa tidak valid. Variabel flow
harus memiliki awalan "private". Misalnya, |
<PrivateKey/Value>
<PrivateKey> <Value ref="private.variable-name-here"/> </PrivateKey>
Menentukan kunci pribadi yang dienkode PEM yang digunakan untuk menandatangani JWT. Gunakan atribut ref untuk meneruskan kunci dalam variabel flow. Gunakan hanya jika algoritmenya adalah salah satu dari RS256/RS384/RS512, PS256/PS384/PS512, atau ES256/ES384/ES512.
| Default | T/A |
| Kehadiran | Diperlukan untuk menghasilkan JWT menggunakan algoritma RS256. |
| Jenis | String |
| Nilai yang valid |
Variabel flow yang berisi string yang mewakili nilai kunci pribadi RSA berenkode PEM.
Catatan: Variabel flow harus memiliki awalan "private". Contoh,
|
<Kunci/ID Rahasia>
<SecretKey> <Id ref="flow-variable-name-here"/> </SecretKey> or <SecretKey> <Id>your-id-value-here</Id> </SecretKey>
Menentukan ID kunci (anak) yang akan disertakan dalam header JWT JWT yang ditandatangani dengan algoritma HMAC. Gunakan hanya jika algoritmenya adalah salah satu dari HS256/HS384/HS512.
| Default | T/A |
| Kehadiran | Opsional |
| Jenis | String |
| Nilai yang valid | String atau variabel flow |
<SecretKey/Value>
<SecretKey> <Value ref="private.your-variable-name"/> </SecretKey>
Memberikan kunci rahasia yang digunakan untuk memverifikasi atau menandatangani token dengan algoritma HMAC. Gunakan hanya jika algoritmenya adalah salah satu dari HS256/HS384/HS512. Gunakan atribut ref untuk meneruskan kunci dalam variabel flow.
Edge memberlakukan kekuatan kunci minimum untuk algoritma HS256/HS384/HS512. Panjang kunci minimum untuk HS256 adalah 32 byte, untuk HS384 adalah 48 byte, dan untuk HS512 adalah 64 byte. Menggunakan kunci dengan kekuatan lebih rendah akan menyebabkan error runtime.
| Default | T/A |
| Kehadiran | Diperlukan untuk algoritma HMAC. |
| Jenis | String |
| Nilai yang valid |
Variabel flow yang mengacu pada string
Catatan: Jika variabel flow, variabel tersebut harus memiliki awalan "private". Contoh:
|
<Subject>
<Subject>subject-string-here</Subject>atau
<Subject ref="flow_variable" />
Contoh:
<Subject ref="apigee.developer.email"/>
Kebijakan ini menghasilkan JWT yang berisi klaim sub, yang ditetapkan ke nilai yang ditentukan.Klaim ini mengidentifikasi atau membuat pernyataan tentang subjek JWT. Ini adalah salah satu dari kumpulan klaim standar yang disebutkan dalam RFC7519.
| Default | T/A |
| Kehadiran | Opsional |
| Jenis | String |
| Nilai yang valid | Nilai apa pun yang secara unik mengidentifikasi subjek atau variabel flow yang mengacu pada nilai. |
Variabel alur
Kebijakan Generate JWT tidak menetapkan variabel alur.
Referensi error
Bagian ini menjelaskan kode kesalahan dan pesan error yang ditampilkan dan variabel kesalahan yang disetel oleh Edge saat kebijakan ini memicu error. Informasi ini penting untuk diketahui apakah Anda mengembangkan aturan kesalahan untuk menangani kesalahan. Untuk mempelajari lebih lanjut, lihat Yang perlu Anda ketahui tentang error kebijakan dan Menangani kesalahan.
Error runtime
Error ini dapat terjadi saat kebijakan dieksekusi.
| Kode kesalahan | Status HTTP | Terjadi saat |
|---|---|---|
steps.jwt.AlgorithmInTokenNotPresentInConfiguration |
401 | Terjadi saat kebijakan verifikasi memiliki beberapa algoritma. |
steps.jwt.AlgorithmMismatch |
401 | Algoritme yang ditentukan dalam kebijakan Buat tidak cocok dengan yang diharapkan dalam kebijakan Verifikasi. Algoritma yang ditentukan harus cocok. |
steps.jwt.FailedToDecode |
401 | Kebijakan tidak dapat mendekode JWT. JWT mungkin rusak. |
steps.jwt.GenerationFailed |
401 | Kebijakan tidak dapat menghasilkan JWT. |
steps.jwt.InsufficientKeyLength |
401 | Untuk kunci yang berukuran kurang dari 32 byte untuk algoritma HS256, kurang dari 48 byte untuk algoritma HS386, dan kurang dari 64 byte untuk algoritma HS512. |
steps.jwt.InvalidClaim |
401 | Karena klaim atau klaim tidak cocok, atau ketidakcocokan header atau header tidak ada. |
steps.jwt.InvalidCurve |
401 | Kurva yang ditentukan oleh kunci tidak valid untuk algoritma Kurva Eliptis. |
steps.jwt.InvalidJsonFormat |
401 | JSON yang tidak valid ditemukan di header atau payload. |
steps.jwt.InvalidToken |
401 | Error ini terjadi saat verifikasi tanda tangan JWT gagal. |
steps.jwt.JwtAudienceMismatch |
401 | Klaim audiens gagal pada verifikasi token. |
steps.jwt.JwtIssuerMismatch |
401 | Klaim penerbit gagal pada verifikasi token. |
steps.jwt.JwtSubjectMismatch |
401 | Klaim subjek gagal pada verifikasi token. |
steps.jwt.KeyIdMissing |
401 | Kebijakan Verifikasi menggunakan JWKS sebagai sumber untuk kunci publik, tetapi JWT yang ditandatangani tidak menyertakan properti kid di header. |
steps.jwt.KeyParsingFailed |
401 | Kunci publik tidak dapat diuraikan dari informasi kunci yang diberikan. |
steps.jwt.NoAlgorithmFoundInHeader |
401 | Terjadi saat JWT tidak berisi header algoritma. |
steps.jwt.NoMatchingPublicKey |
401 | Kebijakan Verifikasi menggunakan JWKS sebagai sumber untuk kunci publik, tetapi kid dalam JWT yang ditandatangani tidak tercantum di JWKS. |
steps.jwt.SigningFailed |
401 | Dalam GenerateJWT, untuk kunci yang kurang dari ukuran minimum untuk algoritma HS384 atau HS512 |
steps.jwt.TokenExpired |
401 | Kebijakan ini akan mencoba memverifikasi token yang sudah habis masa berlakunya. |
steps.jwt.TokenNotYetValid |
401 | Token belum valid. |
steps.jwt.UnhandledCriticalHeader |
401 | Header yang ditemukan oleh kebijakan Verifikasi JWT di header crit tidak tercantum di KnownHeaders. |
steps.jwt.UnknownException |
401 | Terjadi pengecualian yang tidak diketahui. |
steps.jwt.WrongKeyType |
401 | Jenis kunci yang ditentukan salah. Misalnya, jika Anda menentukan kunci RSA untuk algoritma Kurva Elliptik, atau kunci kurva untuk algoritma RSA. |
Error saat deployment
Error ini dapat terjadi saat Anda men-deploy proxy yang berisi kebijakan ini.
| Nama error | Penyebab | Perbaiki |
|---|---|---|
InvalidNameForAdditionalClaim |
Deployment akan gagal jika klaim yang digunakan dalam elemen turunan <Claim> dari elemen <AdditionalClaims> adalah salah satu nama yang terdaftar berikut: kid, iss, sub, aud, iat, exp, nbf, atau jti.
|
build |
InvalidTypeForAdditionalClaim |
Jika klaim yang digunakan dalam elemen turunan <Claim> elemen <AdditionalClaims> bukan jenis string, number, boolean, atau map, deployment akan gagal.
|
build |
MissingNameForAdditionalClaim |
Jika nama klaim tidak ditentukan dalam elemen turunan <Claim> dari elemen <AdditionalClaims>, deployment akan gagal.
|
build |
InvalidNameForAdditionalHeader |
Error ini terjadi jika nama klaim yang digunakan dalam elemen turunan <Claim> dari elemen <AdditionalClaims> adalah alg atau typ.
|
build |
InvalidTypeForAdditionalHeader |
Jika jenis klaim yang digunakan dalam elemen turunan <Claim> dari elemen <AdditionalClaims> bukan jenis string, number, boolean, atau map, deployment akan gagal.
|
build |
InvalidValueOfArrayAttribute |
Error ini terjadi jika nilai atribut array dalam elemen turunan <Claim> dari elemen <AdditionalClaims> tidak ditetapkan ke true atau false.
|
build |
InvalidConfigurationForActionAndAlgorithm |
Jika elemen <PrivateKey> digunakan dengan algoritma Keluarga HS atau elemen <SecretKey> digunakan dengan algoritma Keluarga RSA, deployment akan gagal.
|
build |
InvalidValueForElement |
Jika nilai yang ditentukan dalam elemen <Algorithm> bukan nilai yang didukung, deployment akan gagal.
|
build |
MissingConfigurationElement |
Error ini akan terjadi jika elemen <PrivateKey> tidak digunakan dengan
algoritma kelompok RSA atau elemen <SecretKey> tidak digunakan dengan
algoritma Keluarga HS.
|
build |
InvalidKeyConfiguration |
Jika elemen turunan <Value> tidak ditetapkan dalam elemen <PrivateKey> atau <SecretKey>, deployment akan gagal.
|
build |
EmptyElementForKeyConfiguration |
Jika atribut referensi elemen turunan <Value> dari elemen <PrivateKey> atau <SecretKey> kosong atau tidak ditentukan, deployment akan gagal.
|
build |
InvalidVariableNameForSecret |
Error ini terjadi jika nama variabel flow yang ditentukan dalam atribut ref elemen
turunan <Value> dari elemen <PrivateKey>
atau <SecretKey> tidak berisi awalan pribadi (private.).
|
build |
InvalidSecretInConfig |
Error ini terjadi jika elemen turunan <Value> dari elemen <PrivateKey> atau <SecretKey> tidak berisi awalan pribadi (private.).
|
build |
InvalidTimeFormat |
Jika nilai yang ditentukan dalam elemen <NotBefore> tidak menggunakan format yang didukung, deployment akan gagal.
|
build |
Variabel kesalahan
Variabel ini ditetapkan saat terjadi error runtime. Untuk informasi selengkapnya, lihat Yang perlu Anda ketahui tentang error kebijakan.
| Variabel | Dari mana | Contoh |
|---|---|---|
fault.name="fault_name" |
fault_name adalah nama kesalahan, seperti yang tercantum dalam tabel Error runtime di atas. Nama kesalahan adalah bagian terakhir dari kode kesalahan. | fault.name Matches "TokenExpired" |
JWT.failed |
Semua kebijakan JWT menetapkan variabel yang sama jika terjadi kegagalan. | JWT.failed = true |
Contoh respons error
Untuk penanganan error, praktik terbaiknya adalah menjebak bagian errorcode dari respons
error. Jangan mengandalkan teks di faultstring, karena dapat berubah.
Contoh aturan kesalahan
<FaultRules>
<FaultRule name="JWT Policy Errors">
<Step>
<Name>JavaScript-1</Name>
<Condition>(fault.name Matches "TokenExpired")</Condition>
</Step>
<Condition>JWT.failed=true</Condition>
</FaultRule>
</FaultRules>