Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về
Apigee X. thông tin
Nội dung
Tạo JWT có chữ ký kèm theo một tập hợp các thông báo xác nhận quyền sở hữu có thể định cấu hình. Sau đó, JWT có thể được trả về cho ứng dụng khách, được truyền đến các mục tiêu phụ trợ hoặc dùng theo những cách khác. Hãy xem bài viết Tổng quan về các chính sách JWS và JWT để nắm được nội dung giới thiệu chi tiết.
Video
Xem video ngắn để tìm hiểu cách tạo JWT có chữ ký.
Mẫu
Tạo một JWT được ký bằng thuật toán HS256
Chính sách mẫu này tạo ra một JWT mới và ký bằng thuật toán HS256. HS256 dựa vào một khoá bí mật dùng chung để ký và xác minh chữ ký.
Khi hành động chính sách này được kích hoạt, Edge sẽ mã hoá tiêu đề và tải trọng JWT, sau đó ký JWT dưới dạng kỹ thuật số. Xem video ở trên để biết ví dụ hoàn chỉnh, bao gồm cả cách gửi yêu cầu đối với chính sách.
Cấu hình chính sách ở đây sẽ tạo một JWT với một tập hợp các thông báo xác nhận quyền sở hữu chuẩn như được xác định trong bản đặc tả JWT, bao gồm cả thời gian hết hạn là 1 giờ cũng như một xác nhận bổ sung. Bạn có thể thêm bao nhiêu thông báo xác nhận quyền sở hữu bổ sung tuỳ thích. Hãy xem Tài liệu tham khảo về phần tử để biết thông tin chi tiết về các yêu cầu và lựa chọn cho từng phần tử trong chính sách mẫu này.
<GenerateJWT name="JWT-Generate-HS256">
<DisplayName>JWT Generate HS256</DisplayName>
<Algorithm>HS256</Algorithm>
<IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
<SecretKey>
<Value ref="private.secretkey"/>
<Id>1918290</Id>
</SecretKey>
<ExpiresIn>1h</ExpiresIn>
<Subject>monty-pythons-flying-circus</Subject>
<Issuer>urn://apigee-edge-JWT-policy-test</Issuer>
<Audience>fans</Audience>
<Id/>
<AdditionalClaims>
<Claim name="show">And now for something completely different.</Claim>
</AdditionalClaims>
<OutputVariable>jwt-variable</OutputVariable>
</GenerateJWT>
JWT thu được sẽ có tiêu đề này ...
{
"typ" : "JWT",
"alg" : "HS256",
"kid" : "1918290"
}
... và sẽ có tải trọng với nội dung giống như sau:
{
"sub" : "monty-pythons-flying-circus",
"iss" : "urn://apigee-edge-JWT-policy-test",
"aud" : "show",
"iat" : 1506553019,
"exp" : 1506556619,
"jti" : "BD1FF263-3D25-4593-A685-5EC1326E1F37",
"show": "And now for something completely different."
}
Giá trị của các thông báo xác nhận quyền sở hữu iat, exp và jti sẽ khác nhau.
Tạo một JWT được ký bằng thuật toán RS256
Chính sách trong ví dụ này tạo ra một JWT mới và ký bằng thuật toán RS256. Việc tạo chữ ký RS256 cần dựa trên khoá riêng tư RSA và khoá này phải được cung cấp ở dạng được mã hoá PEM. Xem video ở trên để biết ví dụ hoàn chỉnh, bao gồm cả cách gửi yêu cầu đối với chính sách.
Khi hành động này của chính sách được kích hoạt, Edge sẽ mã hoá và ký JWT dưới dạng kỹ thuật số, bao gồm cả các thông báo xác nhận quyền sở hữu. Để tìm hiểu về các thành phần của JWT cũng như cách các thành phần đó được mã hoá và ký, hãy tham khảo RFC7519.
<GenerateJWT name="JWT-Generate-RS256">
<Algorithm>RS256</Algorithm>
<IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
<PrivateKey>
<Value ref="private.privatekey"/>
<Password ref="private.privatekey-password"/>
<Id ref="private.privatekey-id"/>
</PrivateKey>
<Subject>apigee-seattle-hatrack-montage</Subject>
<Issuer>urn://apigee-edge-JWT-policy-test</Issuer>
<Audience>urn://c60511c0-12a2-473c-80fd-42528eb65a6a</Audience>
<ExpiresIn>60m</ExpiresIn>
<Id/>
<AdditionalClaims>
<Claim name="show">And now for something completely different.</Claim>
</AdditionalClaims>
<OutputVariable>jwt-variable</OutputVariable>
</GenerateJWT>
Thiết lập thành phần chính
Các phần tử mà bạn sử dụng để chỉ định khoá dùng để tạo JWT phụ thuộc vào thuật toán đã chọn, như minh hoạ trong bảng sau:
| Thuật toán | Các thành phần chính | |
|---|---|---|
| HS{256/384/512}* | <SecretKey> <Value ref="private.secretkey"/> <Id>1918290</Id> </SecretKey> |
|
| RS/PS/ES{256/384/512}* | <PrivateKey> <Value ref="private.privatekey"/> <Password ref="private.privatekey-password"/> <Id ref="private.privatekey-id"/> </PrivateKey> Các phần tử |
|
| *Để biết thêm về các yêu cầu quan trọng, hãy xem bài viết Giới thiệu về thuật toán mã hoá chữ ký. | ||
Tài liệu tham khảo phần tử cho Tạo JWT
Tài liệu tham khảo về chính sách mô tả các phần tử và thuộc tính của chính sách Tạo JWT.
Lưu ý: Cấu hình sẽ khác nhau đôi chút tuỳ thuộc vào thuật toán mã hoá mà bạn sử dụng. Hãy tham khảo phần Ứng dụng mẫu để xem các ví dụ minh hoạ cấu hình cho các trường hợp sử dụng cụ thể.
Những thuộc tính áp dụng cho phần tử cấp cao nhất
<GenerateJWT name="JWT" continueOnError="false" enabled="true" async="false">
Những thuộc tính sau đây là những thuộc tính chung của tất cả phần tử mẹ của chính sách.
| Thuộc tính | Mô tả | Mặc định | Sự hiện diện |
|---|---|---|---|
| tên |
Tên nội bộ của chính sách. Bạn chỉ được dùng các ký tự sau đây trong tên:
A-Z0-9._\-$ %. Tuy nhiên, giao diện người dùng quản lý Edge thực thi các hạn chế bổ sung, chẳng hạn như tự động xoá các ký tự không phải là chữ và số.
Bạn có thể sử dụng phần tử |
Không áp dụng | Bắt buộc |
| continueOnError |
Đặt thành false để trả về lỗi khi một chính sách không hoạt động. Đây là hành vi dự kiến đối với hầu hết các chính sách.
Đặt thành |
false | Không bắt buộc |
| đang bật |
Đặt thành true để thực thi chính sách.
Đặt thành |
đúng | Không bắt buộc |
| async | Thuộc tính này không được dùng nữa. | false | Không được dùng nữa |
<DisplayName>
<DisplayName>Policy Display Name</DisplayName>
Sử dụng cùng với thuộc tính tên để gắn nhãn cho chính sách bằng một tên khác bằng ngôn ngữ tự nhiên trong trình chỉnh sửa proxy giao diện người dùng quản lý.
| Mặc định | Nếu bạn bỏ qua phần tử này, giá trị của thuộc tính tên của chính sách sẽ được sử dụng. |
| Sự hiện diện | Không bắt buộc |
| Loại | Chuỗi |
<Algorithm>
<Algorithm>algorithm-here</Algorithm>
Chỉ định thuật toán mã hoá để ký mã thông báo.
| Mặc định | Không áp dụng |
| Sự hiện diện | Bắt buộc |
| Loại | Chuỗi |
| Giá trị hợp lệ | HS256, HS384, HS512, RS256, RS384, RS512, ES256, ES384, ES512, PS256, PS384, PS512 |
<Audience>
<Audience>audience-here</Audience> or: <Audience ref='variable_containing_audience'/>
Chính sách này tạo một JWT chứa thông báo xác nhận quyền sở hữu aud được đặt thành giá trị đã chỉ định. Thông báo xác nhận quyền sở hữu này xác định người nhận mục đích của tệp JWT. Đây là một trong những thông báo xác nhận quyền sở hữu đã được đăng ký và được đề cập trong RFC7519.
| Mặc định | Không áp dụng |
| Sự hiện diện | Không bắt buộc |
| Loại | Mảng (danh sách các giá trị được phân tách bằng dấu phẩy) |
| Giá trị hợp lệ | Bất kỳ yếu tố nào giúp xác định đối tượng. |
<AdditionalClaims/Claim> (Xác nhận bổ sung/Xác nhận quyền sở hữu>)
<AdditionalClaims>
<Claim name='claim1'>explicit-value-of-claim-here</Claim>
<Claim name='claim2' ref='variable-name-here'/>
<Claim name='claim3' ref='variable-name-here' type='boolean'/>
</AdditionalClaims>
or:
<AdditionalClaims ref='claim_payload'/>
Cho phép bạn chỉ định(các) cặp giá trị/tên xác nhận quyền sở hữu bổ sung trong tải trọng của JWT. Bạn có thể chỉ định rõ ràng thông báo dưới dạng chuỗi, số, boolean, tệp ánh xạ hoặc mảng. Tệp ánh xạ chỉ đơn giản là một tập hợp các cặp tên/giá trị.
| Mặc định | Không áp dụng |
| Sự hiện diện | Không bắt buộc |
| Giá trị hợp lệ | Bất kỳ giá trị nào mà bạn muốn sử dụng cho một thông báo xác nhận quyền sở hữu bổ sung. Bạn có thể chỉ định rõ ràng thông báo dưới dạng chuỗi, số, boolean, tệp ánh xạ hoặc mảng. |
Phần tử <Claim> có các thuộc tính sau:
- name – (Bắt buộc) Tên của thông báo xác nhận quyền sở hữu.
- ref – (Không bắt buộc) Tên của biến luồng. Nếu có, chính sách này sẽ sử dụng giá trị của biến này làm thông báo xác nhận quyền sở hữu. Nếu bạn chỉ định cả thuộc tính ref và giá trị tuyên bố rõ ràng, thì giá trị tường minh sẽ là giá trị mặc định và được dùng nếu biến luồng được tham chiếu không được phân giải.
- type – (Không bắt buộc) Một trong các loại: string (mặc định), number, boolean hoặc map
- mảng – (Không bắt buộc) Đặt thành true để cho biết liệu giá trị có phải là một mảng các loại hay không. Mặc định: false.
Khi bạn thêm phần tử <Claim>, tên thông báo xác nhận quyền sở hữu sẽ được đặt cố định khi bạn định cấu hình chính sách. Ngoài ra, bạn có thể truyền đối tượng JSON để chỉ định tên xác nhận quyền sở hữu.
Vì đối tượng JSON được truyền dưới dạng biến nên tên xác nhận quyền sở hữu trong JWT đã tạo sẽ được xác định trong thời gian chạy.
Ví dụ:
<AdditionalClaims ref='json_claims'/>
Trong đó biến json_claims chứa đối tượng JSON ở dạng:
{
"sub" : "person@example.com",
"iss" : "urn://secure-issuer@example.com",
"non-registered-claim" : {
"This-is-a-thing" : 817,
"https://example.com/foobar" : { "p": 42, "q": false }
}
}
JWT được tạo bao gồm tất cả các xác nhận quyền sở hữu trong đối tượng JSON.
<AdditionalHeaders/Claim> (Thông tin bổ sung/Xác nhận quyền sở hữu>)
<AdditionalHeaders>
<Claim name='claim1'>explicit-value-of-claim-here</Claim>
<Claim name='claim2' ref='variable-name-here'/>
<Claim name='claim3' ref='variable-name-here' type='boolean'/>
<Claim name='claim4' ref='variable-name' type='string' array='true'/>
</AdditionalHeaders>
Đặt(các) cặp tên/giá trị xác nhận quyền sở hữu bổ sung vào tiêu đề cho JWT.
| Mặc định | Không áp dụng |
| Sự hiện diện | Không bắt buộc |
| Giá trị hợp lệ | Bất kỳ giá trị nào mà bạn muốn sử dụng cho một thông báo xác nhận quyền sở hữu bổ sung. Bạn có thể chỉ định rõ ràng thông báo dưới dạng chuỗi, số, boolean, tệp ánh xạ hoặc mảng. |
Phần tử <Claim> có các thuộc tính sau:
- name – (Bắt buộc) Tên của thông báo xác nhận quyền sở hữu.
- ref – (Không bắt buộc) Tên của biến luồng. Nếu có, chính sách này sẽ sử dụng giá trị của biến này làm thông báo xác nhận quyền sở hữu. Nếu bạn chỉ định cả thuộc tính ref và giá trị tuyên bố rõ ràng, thì giá trị tường minh sẽ là giá trị mặc định và được dùng nếu biến luồng được tham chiếu không được phân giải.
- type – (Không bắt buộc) Một trong các loại: string (mặc định), number, boolean hoặc map
- mảng – (Không bắt buộc) Đặt thành true để cho biết liệu giá trị có phải là một mảng các loại hay không. Mặc định: false.
<CriticalHeaders>
<CriticalHeaders>a,b,c</CriticalHeaders> or: <CriticalHeaders ref=’variable_containing_headers’/>
Thêm tiêu đề quan trọng, crit, vào tiêu đề JWT. Tiêu đề crit là một dãy tên tiêu đề mà bộ thu JWT phải biết và nhận dạng. Ví dụ:
{
“typ: “...”,
“alg” : “...”,
“crit” : [ “a”, “b”, “c” ],
}
Trong thời gian chạy, chính sáchVerifyJWT kiểm tra tiêu đề crit.
Đối với mỗi mục được liệt kê trong tiêu đề crit, hệ thống sẽ kiểm tra để đảm bảo rằng phần tử <KnownHeaders> của chính sách VerifyJWT cũng liệt kê tiêu đề đó. Bất kỳ tiêu đề nào mà chính sách VerifyJWT tìm thấy trong crit mà cũng không được liệt kê trong <KnownHeaders> đều sẽ khiến chính sách VerifyJWT không hoạt động.
| Mặc định | Không áp dụng |
| Sự hiện diện | Không bắt buộc |
| Loại | Mảng chuỗi được phân tách bằng dấu phẩy |
| Giá trị hợp lệ | Mảng hoặc tên của biến chứa mảng đó. |
<CustomClaims>
Lưu ý: Hiện tại, phần tử CustomClaims sẽ được chèn khi bạn thêm một chính sách GenerateJWT mới thông qua giao diện người dùng. Phần tử này không hoạt động và bị bỏ qua. Phần tử chính xác cần sử dụng thay thế là <AdditionalClaims> (Giao diện người dùng). Giao diện người dùng sẽ được cập nhật để chèn đúng phần tử sau này.
<ExpiresIn>
<ExpiresIn>time-value-here</ExpiresIn>
Chỉ định thời gian hoạt động của JWT tính bằng mili giây, giây, phút, giờ hoặc ngày.
| Mặc định | N/A |
| Sự hiện diện | Không bắt buộc |
| Loại | Số nguyên |
| Giá trị hợp lệ |
Giá trị hoặc tham chiếu đến biến luồng chứa giá trị. Bạn có thể chỉ định đơn vị thời gian như sau:
Ví dụ: |
<Mã nhận dạng>
<Id>explicit-jti-value-here</Id> -or- <Id ref='variable-name-here'/> -or- <Id/>
Tạo JWT có xác nhận quyền sở hữu jti cụ thể. Khi cả giá trị văn bản và thuộc tính ref đều trống, chính sách này sẽ tạo một jti chứa UUID ngẫu nhiên. Tuyên bố xác nhận quyền sở hữu mã JWT (jti) là giá trị nhận dạng duy nhất của JWT. Để biết thêm thông tin về jti, hãy tham khảo RFC7519.
| Mặc định | Không áp dụng |
| Sự hiện diện | Không bắt buộc |
| Loại | Chuỗi hoặc tệp tham chiếu. |
| Giá trị hợp lệ | Một chuỗi hoặc tên của biến luồng có chứa mã nhận dạng. |
<IgnoreUnresolvedVariables>
<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>
Đặt thành false nếu bạn muốn chính sách này báo lỗi khi không thể giải quyết mọi biến được tham chiếu đã chỉ định trong chính sách. Đặt thành true để coi mọi biến không thể phân giải là chuỗi trống (null).
| Mặc định | Sai |
| Sự hiện diện | Không bắt buộc |
| Loại | Boolean |
| Giá trị hợp lệ | true hoặc false |
<Issuer>
<Issuer ref='variable-name-here'/> <Issuer>issuer-string-here</Issuer>
Chính sách này tạo một JWT chứa thông báo xác nhận quyền sở hữu có tên iss, với một giá trị được đặt thành giá trị đã chỉ định. Đơn khiếu nại xác định bên phát hành JWT. Đây là một trong nhóm thông báo xác nhận quyền sở hữu đã đăng ký và được đề cập trong RFC7519.
| Mặc định | Không áp dụng |
| Sự hiện diện | Không bắt buộc |
| Loại | Chuỗi hoặc tệp tham chiếu |
| Giá trị hợp lệ | Bất kỳ |
<NotBefore>
<!-- Specify an absolute time. --> <NotBefore>2017-08-14T11:00:21-07:00</NotBefore> -or- <!-- Specify a time relative to when the token is generated. --> <NotBefore>6h</NotBefore>
Chỉ định thời điểm mã thông báo có hiệu lực. Mã thông báo không hợp lệ cho đến thời điểm được chỉ định. Bạn có thể chỉ định giá trị thời gian tuyệt đối hoặc thời gian tương đối so với thời điểm tạo mã thông báo.
| Mặc định | Không áp dụng |
| Sự hiện diện | Không bắt buộc |
| Loại | Chuỗi |
| Giá trị hợp lệ | Hãy xem nội dung bên dưới. |
Giá trị thời gian hợp lệ cho phần tử NotBefore cho giá trị thời gian tuyệt đối
| Tên | Định dạng | Ví dụ |
| có thể sắp xếp | yyyy-MM-dd'T'HH:mm:ss.SSSZ |
2017-08-14T11:00:21.269-0700 |
| RFC 1123 | EEE, dd MMM yyyy HH:mm:ss zzz |
Thứ Hai, ngày 14 tháng 8 năm 2017 11:00:21 PDT |
| RFC 850 | EEEE, dd-MMM-yy HH:mm:ss zzz |
Thứ hai, 14-8-17 11:00:21 PDT |
| ANCI-C | EEE MMM d HH:mm:ss yyyy |
Thứ hai, ngày 14 tháng 8 năm 2017 |
Đối với các giá trị thời gian tương đối, hãy chỉ định một số nguyên và một khoảng thời gian, ví dụ:
- 10 giây
- 60 triệu
- 12 giờ
<OutputVariable>
<OutputVariable>jwt-variable</OutputVariable>
Chỉ định vị trí đặt JWT do chính sách này tạo. Theo mặc định, thuộc tính này được đặt vào biến luồng jwt.POLICYNAME.generated_jwt.
| Mặc định | jwt.POLICYNAME.generated_jwt |
| Sự hiện diện | Không bắt buộc |
| Loại | Chuỗi (tên biến luồng) |
<PrivateKey/Id>
<PrivateKey> <Id ref="flow-variable-name-here"/> </PrivateKey> or <PrivateKey> <Id>your-id-value-here</Id> </PrivateKey>
Chỉ định mã nhận dạng khoá (kid) để đưa vào tiêu đề JWT. Chỉ sử dụng khi thuật toán là một trong các giá trị RS256/RS384/RS512, PS256/PS384/PS512 hoặc ES256/ES384/ES512.
| Mặc định | Không áp dụng |
| Sự hiện diện | Không bắt buộc |
| Loại | Chuỗi |
| Giá trị hợp lệ | Chuỗi hoặc biến luồng |
<PrivateKey/Password>
<PrivateKey> <Password ref="private.privatekey-password"/> </PrivateKey>
Chỉ định mật khẩu mà chính sách nên sử dụng để giải mã khoá riêng tư, nếu cần. Sử dụng thuộc tính ref để truyền khoá vào một biến luồng. Chỉ sử dụng khi thuật toán là một trong các giá trị RS256/RS384/RS512, PS256/PS384/PS512 hoặc ES256/ES384/ES512.
| Mặc định | Không áp dụng |
| Sự hiện diện | Không bắt buộc |
| Loại | Chuỗi |
| Giá trị hợp lệ |
Tham chiếu biến luồng.
Lưu ý: Bạn phải chỉ định một biến luồng. Edge sẽ từ chối một cấu hình chính sách không hợp lệ, trong đó mật khẩu được chỉ định dưới dạng văn bản thuần tuý. Biến luồng phải có tiền tố "private" (riêng tư). Ví dụ: |
<PrivateKey/Value>
<PrivateKey> <Value ref="private.variable-name-here"/> </PrivateKey>
Chỉ định một khoá riêng tư được mã hoá PEM, dùng để ký JWT. Hãy sử dụng thuộc tính tham chiếu để truyền khoá vào một biến luồng. Chỉ sử dụng khi thuật toán là một trong các giá trị RS256/RS384/RS512, PS256/PS384/PS512 hoặc ES256/ES384/ES512.
| Mặc định | Không áp dụng |
| Sự hiện diện | Cần để tạo JWT bằng thuật toán RS256. |
| Loại | Chuỗi |
| Giá trị hợp lệ |
Biến luồng chứa một chuỗi đại diện cho giá trị khoá riêng tư RSA được mã hoá PEM.
Lưu ý: Biến luồng phải có tiền tố "private". Ví dụ: |
<SecretKey/Id>
<SecretKey> <Id ref="flow-variable-name-here"/> </SecretKey> or <SecretKey> <Id>your-id-value-here</Id> </SecretKey>
Chỉ định giá trị nhận dạng khoá (kid) để đưa vào tiêu đề JWT của JWT được ký bằng thuật toán HMAC. Chỉ sử dụng khi thuật toán là một trong các mã HS256/HS384/HS512.
| Mặc định | Không áp dụng |
| Sự hiện diện | Không bắt buộc |
| Loại | Chuỗi |
| Giá trị hợp lệ | Chuỗi hoặc biến luồng |
<SecretKey/Value>
<SecretKey> <Value ref="private.your-variable-name"/> </SecretKey>
Cung cấp khoá bí mật dùng để xác minh hoặc ký mã thông báo bằng thuật toán HMAC. Chỉ sử dụng khi thuật toán là một trong các mã HS256/HS384/HS512. Sử dụng thuộc tính ref để truyền khoá vào một biến luồng.
Edge thực thi độ mạnh khoá tối thiểu cho các thuật toán HS256/HS384/HS512. Độ dài khoá tối thiểu của HS256 là 32 byte, HS384 là 48 byte và đối với HS512 là 64 byte. Việc sử dụng khoá có độ mạnh thấp hơn gây ra lỗi thời gian chạy.
| Mặc định | Không áp dụng |
| Sự hiện diện | Bắt buộc đối với thuật toán HMAC. |
| Loại | Chuỗi |
| Giá trị hợp lệ |
Biến luồng tham chiếu đến một chuỗi
Lưu ý: Nếu một biến luồng, biến đó phải có tiền tố "riêng tư". Ví dụ: |
<Subject>
<Subject>subject-string-here</Subject>hoặc
<Subject ref="flow_variable" />
Ví dụ:
<Subject ref="apigee.developer.email"/>
Chính sách này tạo một JWT chứa thông báo xác nhận quyền sở hữu phụ, được đặt thành giá trị được chỉ định.Thông báo xác nhận quyền sở hữu này xác định hoặc đưa ra tuyên bố về chủ thể của JWT. Đây là một trong nhóm thông báo xác nhận quyền sở hữu tiêu chuẩn được đề cập trong RFC7519.
| Mặc định | Không áp dụng |
| Sự hiện diện | Không bắt buộc |
| Loại | Chuỗi |
| Giá trị hợp lệ | Bất kỳ giá trị nào xác định duy nhất một chủ đề hoặc biến luồng tham chiếu đến một giá trị. |
Biến luồng
Chính sách Tạo JWT không đặt các biến luồng.
Tham chiếu lỗi
Phần này mô tả các mã lỗi và thông báo lỗi được trả về, cũng như các biến lỗi do Edge đặt khi chính sách này kích hoạt lỗi. Thông tin này đóng vai trò quan trọng trong việc phát triển các quy tắc lỗi để xử lý lỗi. Để tìm hiểu thêm, hãy xem Những điều bạn cần biết về lỗi chính sách và Xử lý lỗi.
Lỗi thời gian chạy
Những lỗi này có thể xảy ra khi thực thi chính sách.
| Mã lỗi | Trạng thái HTTP | Xảy ra khi |
|---|---|---|
steps.jwt.AlgorithmInTokenNotPresentInConfiguration |
401 | Xảy ra khi chính sách xác minh có nhiều thuật toán. |
steps.jwt.AlgorithmMismatch |
401 | Thuật toán được chỉ định trong chính sách Tạo không khớp với thuật toán dự kiến trong chính sách Xác minh. Thuật toán được chỉ định phải khớp. |
steps.jwt.FailedToDecode |
401 | Chính sách không thể giải mã JWT. JWT có thể bị hỏng. |
steps.jwt.GenerationFailed |
401 | Chính sách không thể tạo JWT. |
steps.jwt.InsufficientKeyLength |
401 | Đối với khoá có kích thước nhỏ hơn 32 byte đối với thuật toán HS256, nhỏ hơn 48 byte đối với thuật toán HS386 và nhỏ hơn 64 byte đối với thuật toán HS512. |
steps.jwt.InvalidClaim |
401 | Đối với thông báo xác nhận quyền sở hữu bị thiếu hoặc không khớp hoặc thiếu tiêu đề hoặc tiêu đề không khớp. |
steps.jwt.InvalidCurve |
401 | Đường cong do khoá chỉ định không hợp lệ cho thuật toán Đường cong Elliptic. |
steps.jwt.InvalidJsonFormat |
401 | Tìm thấy JSON không hợp lệ trong tiêu đề hoặc tải trọng. |
steps.jwt.InvalidToken |
401 | Lỗi này xảy ra khi không xác minh được chữ ký JWT. |
steps.jwt.JwtAudienceMismatch |
401 | Không xác nhận được đối tượng khi xác minh mã thông báo. |
steps.jwt.JwtIssuerMismatch |
401 | Xác nhận quyền sở hữu của nhà phát hành không thành công khi xác minh mã thông báo. |
steps.jwt.JwtSubjectMismatch |
401 | Không xác nhận được chủ thể khi xác minh mã thông báo. |
steps.jwt.KeyIdMissing |
401 | Chính sách Xác minh sử dụng JWKS làm nguồn cho khoá công khai, nhưng JWT đã ký không
có thuộc tính kid trong tiêu đề. |
steps.jwt.KeyParsingFailed |
401 | Không thể phân tích cú pháp khoá công khai từ thông tin khoá đã cho. |
steps.jwt.NoAlgorithmFoundInHeader |
401 | Xảy ra khi JWT không chứa tiêu đề thuật toán. |
steps.jwt.NoMatchingPublicKey |
401 | Chính sách Xác minh sử dụng JWKS làm nguồn cho khoá công khai, nhưng kid
trong JWT đã ký không có trong JWKS. |
steps.jwt.SigningFailed |
401 | Trong GenerateJWT, đối với khoá nhỏ hơn kích thước tối thiểu dành cho thuật toán HS384 hoặc HS512 |
steps.jwt.TokenExpired |
401 | Chính sách này cố gắng xác minh một mã thông báo đã hết hạn. |
steps.jwt.TokenNotYetValid |
401 | Mã thông báo chưa hợp lệ. |
steps.jwt.UnhandledCriticalHeader |
401 | Một tiêu đề do chính sách Verify JWT tìm thấy trong tiêu đề crit không được liệt kê trong KnownHeaders. |
steps.jwt.UnknownException |
401 | Đã xảy ra ngoại lệ không xác định. |
steps.jwt.WrongKeyType |
401 | Chỉ định sai loại khoá. Ví dụ: nếu bạn chỉ định khoá RSA cho thuật toán Elliptic Curve hoặc khoá đường cong cho thuật toán RSA. |
Lỗi triển khai
Những lỗi này có thể xảy ra khi bạn triển khai proxy chứa chính sách này.
| Tên lỗi | Nguyên nhân | Khắc phục |
|---|---|---|
InvalidNameForAdditionalClaim |
Việc triển khai sẽ không thành công nếu thông báo xác nhận quyền sở hữu dùng trong phần tử con <Claim> của phần tử <AdditionalClaims> là một trong những tên đã đăng ký sau đây: kid, iss, sub, aud, iat, exp, nbf hoặc jti.
|
build |
InvalidTypeForAdditionalClaim |
Nếu thông báo xác nhận quyền sở hữu dùng trong phần tử con <Claim> của phần tử <AdditionalClaims> không thuộc loại string, number, boolean hoặc map, thì quá trình triển khai sẽ không thành công.
|
build |
MissingNameForAdditionalClaim |
Nếu tên của thông báo xác nhận quyền sở hữu không được chỉ định trong phần tử con <Claim> của phần tử <AdditionalClaims>, thì quá trình triển khai sẽ không thành công.
|
build |
InvalidNameForAdditionalHeader |
Lỗi này xảy ra khi tên của thông báo xác nhận quyền sở hữu dùng trong phần tử con <Claim> của phần tử <AdditionalClaims> là alg hoặc typ.
|
build |
InvalidTypeForAdditionalHeader |
Nếu loại thông báo xác nhận quyền sở hữu dùng trong phần tử con <Claim> của phần tử <AdditionalClaims> không thuộc loại string, number, boolean hoặc map, thì quá trình triển khai sẽ không thành công.
|
build |
InvalidValueOfArrayAttribute |
Lỗi này xảy ra khi giá trị của thuộc tính mảng trong phần tử con <Claim> của phần tử <AdditionalClaims> không được đặt thành true hoặc false.
|
build |
InvalidConfigurationForActionAndAlgorithm |
Nếu phần tử <PrivateKey> được sử dụng với thuật toán Gia đình HS hoặc phần tử <SecretKey> được sử dụng với thuật toán Nhóm RSA, thì quá trình triển khai sẽ không thành công.
|
build |
InvalidValueForElement |
Nếu giá trị được chỉ định trong phần tử <Algorithm> không phải là giá trị được hỗ trợ, thì quá trình triển khai sẽ không thành công.
|
build |
MissingConfigurationElement |
Lỗi này sẽ xảy ra nếu không sử dụng phần tử <PrivateKey> với thuật toán nhóm RSA hoặc phần tử <SecretKey> không được sử dụng với thuật toán Nhóm HS.
|
build |
InvalidKeyConfiguration |
Nếu phần tử con <Value> không được xác định trong các phần tử <PrivateKey> hoặc <SecretKey>, thì quá trình triển khai sẽ không thành công.
|
build |
EmptyElementForKeyConfiguration |
Nếu thuộc tính ref của phần tử con <Value> trong các phần tử <PrivateKey> hoặc <SecretKey> bị trống hoặc chưa được chỉ định, thì quá trình triển khai sẽ không thành công.
|
build |
InvalidVariableNameForSecret |
Lỗi này xảy ra nếu tên biến luồng được chỉ định trong thuộc tính tham chiếu của phần tử con <Value> của các phần tử <PrivateKey> hoặc <SecretKey> không chứa tiền tố riêng (private.).
|
build |
InvalidSecretInConfig |
Lỗi này xảy ra nếu phần tử con <Value> của các phần tử <PrivateKey> hoặc <SecretKey> không chứa tiền tố riêng (private.).
|
build |
InvalidTimeFormat |
Nếu giá trị được chỉ định trong phần tử <NotBefore> không sử dụng định dạng được hỗ trợ, thì quá trình triển khai sẽ không thành công.
|
build |
Biến lỗi
Các biến này được đặt khi xảy ra lỗi thời gian chạy. Để biết thêm thông tin, hãy xem Những điều bạn cần biết về lỗi chính sách.
| Biến | Trong đó | Ví dụ: |
|---|---|---|
fault.name="fault_name" |
fault_name là tên của lỗi, như liệt kê trong bảng Lỗi thời gian chạy ở trên. Tên lỗi là phần cuối cùng của mã lỗi. | fault.name Matches "TokenExpired" |
JWT.failed |
Tất cả các chính sách JWT đều đặt cùng một biến trong trường hợp xảy ra lỗi. | JWT.failed = true |
Ví dụ về phản hồi lỗi
Để xử lý lỗi, phương pháp hay nhất là giữ phần errorcode của phản hồi lỗi. Đừng dựa vào văn bản trong faultstring vì văn bản này có thể thay đổi.
Ví dụ về quy tắc lỗi
<FaultRules>
<FaultRule name="JWT Policy Errors">
<Step>
<Name>JavaScript-1</Name>
<Condition>(fault.name Matches "TokenExpired")</Condition>
</Step>
<Condition>JWT.failed=true</Condition>
</FaultRule>
</FaultRules>