Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến
Tài liệu về Apigee X. thông tin
Nội dung
Lấy các thuộc tính của mã truy cập, mã làm mới, mã uỷ quyền và ứng dụng và điền giá trị của các thuộc tính đó vào biến.
Chính sách này hữu ích khi bạn cần định cấu hình hành vi linh động, có điều kiện dựa trên một giá trị trong mã thông báo hoặc mã uỷ quyền. Bất cứ khi nào quy trình xác thực mã thông báo xảy ra, các biến sẽ tự động được điền sẵn bằng các giá trị của các thuộc tính mã thông báo. Tuy nhiên, trong trường hợp không xác thực được mã thông báo, bạn có thể sử dụng tính năng này để điền các biến bằng các giá trị thuộc tính của một mã thông báo một cách rõ ràng. Xem thêm Tuỳ chỉnh mã thông báo và Mã uỷ quyền.
Mã truy cập mà bạn chuyển đến chính sách này phải hợp lệ, nếu không chính sách sẽ gửi một
invalid_access_token lỗi.
Mẫu
Các mẫu sau sử dụng chính sách Nhận thông tin OAuth V2 để truy xuất thông tin về nhiều loại của quy trình OAuth2 rồi truy cập vào thông tin đó trong mã.
Mã truy cập
Để tham chiếu đến một mã truy cập, hãy sử dụng phần tử <AccessToken> trong
chính sách của bạn.
Ví dụ sau đây dự kiến sẽ tìm mã truy cập trong một tham số truy vấn có tên "access_token" (thông tin triển khai thực tế tuỳ thuộc vào bạn):
<GetOAuthV2Info name="MyTokenAttrsPolicy"> <AccessToken ref="request.queryparam.access_token"></AccessToken> </GetOAuthV2Info>
Với mã truy cập, chính sách này sẽ tra cứu hồ sơ của mã thông báo và điền một tập hợp với dữ liệu hồ sơ.
Sau đó, bạn có thể truy cập vào các biến bằng cách sử dụng JavaScript hoặc phương tiện khác. Ví dụ sau đây truy xuất(các) phạm vi được liên kết với mã truy cập bằng JavaScript:
var scope = context.getVariable('oauthv2accesstoken.MyTokenAttrsPolicy.scope');
Lưu ý rằng để truy cập vào các biến đó trong mã, bạn phải thêm tiền tố vào chúng " OAuthv2accesstoken". Để xem danh sách đầy đủ các biến được cung cấp thông qua mã truy cập, hãy xem Các biến mã thông báo truy cập.
Mã xác thực
Để xem các thuộc tính mã uỷ quyền, hãy sử dụng <AuthorizationCode>
trong chính sách của mình.
Ví dụ sau đây yêu cầu tìm mã truy cập trong một biểu mẫu thông số có tên là "code" (thông tin triển khai thực tế tuỳ thuộc vào bạn):
<GetOAuthV2Info name="MyAuthCodeAttrsPolicy"> <AuthorizationCode ref="request.formparam.code"></AuthorizationCode> </GetOAuthV2Info>
Với mã xác thực, chính sách tra cứu thông tin của mã và điền một tập hợp các biến có dữ liệu mã xác thực.
Sau đó, bạn có thể truy cập vào các biến bằng cách sử dụng JavaScript hoặc phương tiện khác. Ví dụ sau đây truy xuất thuộc tính tuỳ chỉnh được liên kết với mã uỷ quyền bằng JavaScript:
var attr = context.getVariable(‘oauthv2authcode.MyAuthCodeAttrsPolicy.custom_attribute_name’);
Lưu ý rằng để truy cập các biến đó trong mã, bạn phải thêm tiền tố "oauthv2authcode". Để biết danh sách đầy đủ các biến có sẵn thông qua mã xác thực, hãy xem Biến mã uỷ quyền.
Làm mới mã thông báo
Để nhận các thuộc tính mã làm mới, hãy sử dụng phần tử <RefreshToken> trong
.
Ví dụ sau đây dự kiến sẽ tìm mã truy cập trong một tham số truy vấn có tên "refresh_token" (thông tin triển khai thực tế tuỳ thuộc vào bạn):
<GetOAuthV2Info name="MyRefreshTokenAttrsPolicy"> <RefreshToken ref="request.queryparam.refresh_token"/> </GetOAuthV2Info>
Với mã làm mới, chính sách này tra cứu thông tin của mã làm mới và điền sẵn một tập hợp các biến có dữ liệu mã làm mới.
Sau đó, bạn có thể truy cập vào các biến đó bằng JavaScript hoặc phương tiện khác. Nội dung sau đây Ví dụ này sẽ truy xuất thuộc tính tuỳ chỉnh được liên kết với mã làm mới bằng JavaScript:
var attr = context.getVariable(‘oauthv2refreshtoken.MyRefreshTokenAttrsPolicy.accesstoken.custom_attribute_name’);
Lưu ý rằng để truy cập vào các biến trong mã, bạn phải thêm tiền tố vào các biến đó " OAuthv2refreshtoken". Để xem danh sách đầy đủ các biến được cung cấp qua mã làm mới, hãy xem Làm mới các biến mã thông báo.
Tĩnh
Trong một số ít trường hợp, bạn có thể cần phải lấy hồ sơ của mã thông báo được định cấu hình tĩnh (một không thể truy cập thông qua một biến). Bạn có thể thực hiện việc này bằng cách cung cấp giá trị của thuộc tính mã truy cập dưới dạng phần tử.
<GetOAuthV2Info name="GetTokenAttributes"> <AccessToken>shTUmeI1geSKin0TODcGLXBNe9vp</AccessToken> </GetOAuthV2Info>
Bạn có thể thực hiện việc này với tất cả các loại mã thông báo khác (mã ứng dụng khách, mã uỷ quyền, v.v.) mã thông báo).
Client ID
Ví dụ này cho thấy cách truy xuất thông tin về ứng dụng bằng mã ứng dụng khách.
Sau khi thực thi, chính sách này sẽ điền thông tin ứng dụng vào một nhóm biến. Trong phần này
chính sách này sẽ tìm ra mã ứng dụng khách trong tham số truy vấn
có tên là client_id. Với mã ứng dụng khách, chính sách này tra cứu thông tin
profile và điền sẵn dữ liệu hồ sơ cho một tập hợp các biến. Các biến sẽ là
có tiền tố là oauthv2client.
<GetOAuthV2Info name="GetClientAttributes"> <ClientId ref="request.queryparam.client_id"></ClientId> </GetOAuthV2Info>
Sau đó, bạn có thể truy cập vào các biến bằng cách sử dụng JavaScript hoặc phương tiện khác. Ví dụ: để có được tên ứng dụng của nhà phát triển và email của nhà phát triển được liên kết với ứng dụng khách đang sử dụng JavaScript:
context.getVariable("oauthv2client.GetClientAttributes.developer.email");
context.getVariable("oauthv2client.GetClientAttributes.developer.app.name");
Tham chiếu phần tử
Thông tin tham chiếu phần tử mô tả các phần tử và thuộc tính của chính sách GetOAuthV2Info.
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<GetOAuthV2Info async="false" continueOnError="false" enabled="true" name="GetOAuthV2Info-1"
<DisplayName>Get OAuth v2.0 Info 1</DisplayName>
<AccessToken ref="variable"></AccessToken>
<AuthorizationCode ref="variable"></AuthorizationCode>
<ClientId ref="variable"></ClientId>
<RefreshToken ref="variable"></RefreshToken>
</GetOAuthV2Info>
<GetOAuthV2Info> thuộc tính
<GetOAuthV2Info async="false" continueOnError="false" enabled="true" name="Get-OAuth-v20-Info-1">
Bảng sau đây mô tả những thuộc tính chung cho tất cả phần tử mẹ của chính sách:
| Thuộc tính | Mô tả | Mặc định | Sự hiện diện |
|---|---|---|---|
name |
Tên nội bộ của chính sách. Giá trị của thuộc tính (Không bắt buộc) Bạn có thể dùng phần tử |
Không áp dụng | Bắt buộc |
continueOnError |
Đặt thành Đặt thành |
false | Không bắt buộc |
enabled |
Hãy đặt thành Đặt thành |
đúng | Không bắt buộc |
async |
Thuộc tính này không được dùng nữa. |
false | Không được dùng nữa |
<DisplayName> phần tử
Hãy sử dụng cùng với thuộc tính name để gắn nhãn chính sách trong phần
trình chỉnh sửa proxy giao diện người dùng quản lý có tên ngôn ngữ tự nhiên khác.
<DisplayName>Policy Display Name</DisplayName>
| Mặc định |
Không áp dụng Nếu bạn bỏ qua phần tử này, giá trị của thuộc tính |
|---|---|
| Sự hiện diện | Không bắt buộc |
| Loại | Chuỗi |
<AccessToken> phần tử
Truy xuất hồ sơ cho mã truy cập. Bạn truyền vào một biến chứa chuỗi mã truy cập hoặc chuỗi mã thông báo bằng chữ (trường hợp hiếm). Trong ví dụ này, mã truy cập là truy xuất từ một tham số truy vấn được truyền trong yêu cầu. Sử dụng <IgnoreAccessTokenStatus> nếu bạn muốn trả về thông tin cho mã thông báo đã bị thu hồi hoặc đã hết hạn.
<AccessToken ref="request.queryparam.access_token"></AccessToken>
|
Mặc định: |
request.formparam.access_token (một x-www-form-urlcoded và được chỉ định trong yêu cầu nội dung) |
|
Sự hiện diện: |
Không bắt buộc |
| Loại: | Chuỗi |
| Giá trị hợp lệ: |
Biến flow chứa một chuỗi mã truy cập hoặc một chuỗi bằng chữ. |
<AuthorizationCode> phần tử
Truy xuất hồ sơ để biết mã uỷ quyền. Bạn truyền vào một biến chứa chuỗi mã xác thực hoặc chuỗi mã thông báo bằng chữ (trường hợp hiếm). Trong ví dụ này, mã xác thực là truy xuất từ một tham số truy vấn được truyền trong yêu cầu. Để có danh sách các biến được điền bằng hàm này hãy xem "Biến luồng".
<AuthorizationCode ref="request.queryparam.authorization_code"></AuthorizationCode>
|
Mặc định: |
request.formparam.access_token (một x-www-form-urlcoded và được chỉ định trong yêu cầu nội dung) |
|
Sự hiện diện: |
Không bắt buộc |
| Loại: | Chuỗi |
| Giá trị hợp lệ: |
Biến luồng chứa một chuỗi mã xác thực hoặc một chuỗi bằng chữ. |
<ClientId> phần tử
Truy xuất thông tin liên quan đến mã ứng dụng khách. Trong ví dụ này, mã ứng dụng khách được truy xuất từ một tham số truy vấn được chuyển trong một yêu cầu. Để có danh sách các biến được điền bằng toán tử này, hãy xem bài viết "Biến luồng".
<ClientId ref="request.queryparam.client_id"></ClientId>
|
Mặc định: |
request.formparam.access_token (một x-www-form-urlcoded và được chỉ định trong yêu cầu nội dung) |
|
Sự hiện diện: |
Không bắt buộc |
| Loại: | Chuỗi |
| Giá trị hợp lệ: | Biến luồng chứa một chuỗi mã xác thực hoặc một chuỗi bằng chữ. |
<IgnoreAccessTokenStatus> phần tử
Trả về thông tin về mã thông báo ngay cả khi mã thông báo đã hết hạn hoặc bị thu hồi. Phần tử này chỉ có thể để sử dụng với mã truy cập. Thông tin cho các thực thể khác như mã làm mới và lệnh uỷ quyền theo mặc định, mã được trả về bất kể trạng thái của chúng.
<IgnoreAccessTokenStatus>true</IgnoreAccessTokenStatus>
|
Mặc định: |
false |
|
Sự hiện diện: |
Không bắt buộc |
| Loại: | Boolean |
| Giá trị hợp lệ: | đúng hoặc sai |
<RefreshToken> phần tử
Truy xuất hồ sơ để có mã làm mới. Bạn truyền vào một biến chứa chuỗi mã làm mới hoặc chuỗi mã thông báo bằng chữ (trường hợp hiếm). Trong ví dụ này, mã làm mới là truy xuất từ một tham số truy vấn được truyền trong yêu cầu. Để có danh sách các biến được điền bằng hàm này hãy xem "Biến luồng".
<RefreshToken ref="request.queryparam.refresh_token"></RefreshToken>
|
Mặc định: |
request.formparam.access_token (một x-www-form-urlcoded và được chỉ định trong yêu cầu nội dung) |
|
Sự hiện diện: |
Không bắt buộc |
| Loại: | Chuỗi |
| Giá trị hợp lệ: |
Biến luồng chứa chuỗi mã thông báo làm mới hoặc chuỗi bằng chữ. |
Biến luồng
Chính sách GetOAuthV2Info điền các biến này và thường được sử dụng trong trường hợp bạn cần dữ liệu hồ sơ, nhưng chưa xảy ra việc cấp hoặc xác thực. .
Biến mã ứng dụng khách
Các biến này được điền sẵn khi bạn đặt phần tử ClientId:
oauthv2client.{policy_name}.client_id
oauthv2client.{policy_name}.client_secret
oauthv2client.{policy_name}.redirection_uris // Note the spelling -- 'redirection_uris'
oauthv2client.{policy_name}.developer.email
oauthv2client.{policy_name}.developer.app.name
oauthv2client.{policy_name}.developer.id
oauthv2client.{policy_name}.{developer_app_custom_attribute_name}
Truy cập vào các biến mã thông báo
Các biến sau được điền sẵn khi bạn đặt phần tử AccessToken:
oauthv2accesstoken.{policy_name}.developer.id
oauthv2accesstoken.{policy_name}.developer.app.name
oauthv2accesstoken.{policy_name}.developer.app.id
oauthv2accesstoken.{policy_name}.developer.email
oauthv2accesstoken.{policy_name}.organization_name
oauthv2accesstoken.{policy_name}.api_product_list
oauthv2accesstoken.{policy_name}.access_token
oauthv2accesstoken.{policy_name}.scope
oauthv2accesstoken.{policy_name}.expires_in //in seconds
oauthv2accesstoken.{policy_name}.status
oauthv2accesstoken.{policy_name}.client_id
oauthv2accesstoken.{policy_name}.accesstoken.{custom_attribute_name}
oauthv2accesstoken.{policy_name}.refresh_token
oauthv2accesstoken.{policy_name}.refresh_token_status
oauthv2accesstoken.{policy_name}.refresh_token_expires_in //in seconds
oauthv2accesstoken.{policy_name}.refresh_count
oauthv2accesstoken.{policy_name}.refresh_token_issued_at
oauthv2accesstoken.{policy_name}.revoke_reason //Apigee hybrid only with value of REVOKED_BY_APP, REVOKED_BY_ENDUSER, REVOKED_BY_APP_ENDUSER, or TOKEN_REVOKED
Biến mã uỷ quyền
Các biến này được điền sẵn khi bạn đặt phần tử Uỷ quyền:
oauthv2authcode.{policy_name}.code
oauthv2authcode.{policy_name}.scope
oauthv2authcode.{policy_name}.redirect_uri
oauthv2authcode.{policy_name}.client_id
oauthv2authcode.{policy_name}.{auth_code_custom_attribute_name}
Làm mới các biến mã thông báo
Các biến sau được điền sẵn khi bạn đặt phần tử RefreshToken:
oauthv2refreshtoken.{policy_name}.developer.id
oauthv2refreshtoken.{policy_name}.developer.app.name
oauthv2refreshtoken.{policy_name}.developer.app.id
oauthv2refreshtoken.{policy_name}.developer.email
oauthv2refreshtoken.{policy_name}.organization_name
oauthv2refreshtoken.{policy_name}.api_product_list
oauthv2refreshtoken.{policy_name}.access_token
oauthv2refreshtoken.{policy_name}.scope
oauthv2refreshtoken.{policy_name}.expires_in //in seconds
oauthv2refreshtoken.{policy_name}.status
oauthv2refreshtoken.{policy_name}.client_id
oauthv2refreshtoken.{policy_name}.accesstoken.{custom_attribute_name}
oauthv2refreshtoken.{policy_name}.refresh_token
oauthv2refreshtoken.{policy_name}.refresh_token_status
oauthv2refreshtoken.{policy_name}.refresh_token_expires_in //in seconds
oauthv2refreshtoken.{policy_name}.refresh_count
oauthv2refreshtoken.{policy_name}.refresh_token_issued_at
oauthv2refreshtoken.{policy_name}.revoke_reason //Apigee hybrid only with value of REVOKED_BY_APP, REVOKED_BY_ENDUSER, REVOKED_BY_APP_ENDUSER, or TOKEN_REVOKED
Lược đồ
Mỗi loại chính sách được xác định bằng một giản đồ XML (.xsd). Giản đồ chính sách để tham khảo
đều có trên GitHub.
Tham chiếu lỗi
Phần này mô tả các mã lỗi và thông báo lỗi được trả về cũng như các biến lỗi do Edge đặt khi chính sách này kích hoạt lỗi. Thông tin này rất quan trọng nếu bạn đang phát triển các quy tắc lỗi để xử lý lỗi. Để tìm hiểu thêm, hãy xem bài viết Những điều bạn cần biết về lỗi chính sách và Cách xử lý lỗi.
Lỗi thời gian chạy
Những lỗi này có thể xảy ra khi chính sách này thực thi. Tên lỗi được hiển thị bên dưới là các chuỗi
được gán cho biến fault.name khi xảy ra lỗi. Xem lỗi
về biến bên dưới để biết thêm thông tin chi tiết.
| Mã lỗi | Trạng thái HTTP | Nguyên nhân |
|---|---|---|
steps.oauth.v2.access_token_expired |
500 | Mã truy cập được gửi đến chính sách đã hết hạn. |
steps.oauth.v2.authorization_code_expired |
500 | Mã uỷ quyền được gửi đến chính sách đã hết hạn. |
steps.oauth.v2.invalid_access_token |
500 | Mã truy cập được gửi đến chính sách là không hợp lệ. |
steps.oauth.v2.invalid_client-invalid_client_id |
500 | Mã ứng dụng khách được gửi đến chính sách không hợp lệ. |
steps.oauth.v2.invalid_refresh_token |
500 | Mã làm mới được gửi đến chính sách không hợp lệ. |
steps.oauth.v2.invalid_request-authorization_code_invalid |
500 | Mã uỷ quyền được gửi đến chính sách này không hợp lệ. |
steps.oauth.v2.InvalidAPICallAsNoApiProductMatchFound |
401 | Vui lòng xem bài đăng này trên thẻ Cộng đồng Apigee để biết thông tin về cách khắc phục lỗi này. |
steps.oauth.v2.refresh_token_expired |
500 | Mã làm mới được gửi đến chính sách đã hết hạn. |
Lỗi triển khai
Hãy tham khảo thông báo được báo cáo trong giao diện người dùng để biết thông tin về các lỗi triển khai.
Biến lỗi
Các biến này được đặt khi chính sách này kích hoạt lỗi trong thời gian chạy.
| Biến | Trong đó | Ví dụ: |
|---|---|---|
fault.name="fault_name" |
fault_name là tên của lỗi, như được liệt kê trong bảng Lỗi thời gian chạy ở trên. Tên lỗi là phần cuối cùng của mã lỗi. | fault.name Matches "IPDeniedAccess" |
oauthV2.policy_name.failed |
policy_name là tên do người dùng chỉ định của chính sách gây ra lỗi. | oauthV2.GetTokenInfo.failed = true |
oauthV2.policy_name.fault.name |
policy_name là tên do người dùng chỉ định của chính sách gây ra lỗi. | oauthV2.GetToKenInfo.fault.name = invalid_client-invalid_client_id |
oauthV2.policy_name.fault.cause |
policy_name là tên do người dùng chỉ định của chính sách gây ra lỗi. | oauthV2.GetTokenInfo.cause = ClientID is Invalid |
Ví dụ về phản hồi khi gặp lỗi
{ "fault":{ "faultstring":"ClientId is Invalid", "detail":{ "errorcode":"keymanagement.service.invalid_client-invalid_client_id" } } }
Ví dụ về quy tắc lỗi
<FaultRule name="OAuthV2 Faults">
<Step>
<Name>AM-InvalidClientIdResponse</Name>
</Step>
<Condition>(fault.name = "invalid_client-invalid_client_id")</Condition>
</FaultRule>