Trang này được dịch bởi Cloud Translation API.

Thu hồi chính sách OAuth V2

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về Apigee X. thông tin

Tổng quan

Thu hồi mã truy cập OAuth2 được liên kết với mã ứng dụng của nhà phát triển hoặc mã nhận dạng người dùng cuối của ứng dụng, hoặc cả hai.

Dùng chính sách OAuthv2 để tạo mã truy cập OAuth 2.0. Mã thông báo do Apigee tạo ra có định dạng như sau:

{
  "issued_at" : "1421847736581",
  "application_name" : "a68d01f8-b15c-4be3-b800-ceae8c456f5a",
  "scope" : "READ",
  "status" : "approved",
  "api_product_list" : "[PremiumWeatherAPI]",
  "expires_in" : "3599", //--in seconds
  "developer.email" : "tesla@weathersample.com",
  "organization_id" : "0",
  "token_type" : "BearerToken",
  "client_id" : "k3nJyFJIA3p62DWOkLO6OJNi87GYXFmP",
  "access_token" : "7S22UqXGJDTuUADGzJzjXzXSaGJL",
  "organization_name" : "myorg",
  "refresh_token_expires_in" : "0", //--in seconds
  "refresh_count" : "0"
}

Phần tử application_name chứa mã ứng dụng của nhà phát triển được liên kết với mã thông báo.

Theo mặc định, Apigee không chứa mã nhận dạng người dùng cuối trong mã thông báo. Bạn có thể định cấu hình Apigee để thêm mã nhận dạng người dùng cuối bằng cách thêm phần tử <AppEndUser> vào chính sách OAuthv2:

<OAuthV2 name="GenerateAccessTokenClient">
    <Operation>GenerateAccessTokenV/Operation>
    ...
    <AppEndUser>request.queryparam.app_enduser</AppEndUser>
</OAuthV2>

Trong ví dụ này, hãy chuyển mã người dùng cuối tới chính sách OAuthv2 trong tham số truy vấn có tên app_enduser. Sau đó, mã nhận dạng người dùng cuối được đưa vào mã thông báo trong phần tử app_enduser:

{
 "issued_at" : "1421847736581",
 "application_name" : "a68d01f8-b15c-4be3-b800-ceae8c456f5a",
 "scope" : "READ",
 "app_enduser" : "6ZG094fgnjNf02EK",
 "status" : "approved",
 "api_product_list" : "[PremiumWeatherAPI]",
 "expires_in" : "3599", //--in seconds
 "developer.email" : "tesla@weathersample.com",
 "organization_id" : "0",
 "token_type" : "BearerToken",
 "client_id" : "k3nJyFJIA3p62DWOkLO6OJNi87GYXFmP",
 "access_token" : "7S22UqXGJDTuUADGzJzjXzXSaGJL",
 "organization_name" : "myorg",
 "refresh_token_expires_in" : "0", //--in seconds
 "refresh_count" : "0"
}

Thu hồi theo mã ứng dụng của nhà phát triển

Thu hồi mã truy cập OAuth2 được liên kết với mã ứng dụng của nhà phát triển. Tất cả mã truy cập OAuth2 do Apigee tạo ra đều có mã của ứng dụng dành cho nhà phát triển được liên kết với mã thông báo này. Sau đó, bạn có thể thu hồi mã thông báo dựa trên mã ứng dụng đó.

Sử dụng API Ứng dụng dành cho nhà phát triển để nhận danh sách mã ứng dụng cho một nhà phát triển cụ thể.
Bạn cũng có thể sử dụng API Ứng dụng dành cho nhà phát triển để xem thông tin chi tiết về một ứng dụng.

Thu hồi theo mã người dùng cuối của ứng dụng

Thu hồi mã truy cập OAuth2 được liên kết với mã nhận dạng người dùng cuối của một ứng dụng cụ thể. Đây là mã thông báo liên kết với mã nhận dạng của người dùng được cấp mã thông báo.

Theo mặc định, không có trường nào cho mã nhận dạng người dùng cuối trong mã truy cập OAuth. Để bật tính năng thu hồi mã truy cập OAuth 2.0 theo mã người dùng cuối, bạn phải định cấu hình chính sách OAuthv2 để đưa mã người dùng vào mã thông báo, như hiển thị ở trên.

Để có mã nhận dạng người dùng cuối của ứng dụng, hãy sử dụng API Ứng dụng dành cho nhà phát triển.

Mẫu

Các mẫu sau đây sử dụng chính sách Thu hồi OAuth V2 để thu hồi mã truy cập OAuth2.

Mã ứng dụng của nhà phát triển

Để thu hồi mã truy cập theo mã ứng dụng của nhà phát triển, hãy sử dụng phần tử <AppId> trong chính sách của bạn.

Ví dụ sau đây cho rằng bạn sẽ tìm thấy mã ứng dụng của nhà phát triển của mã truy cập trong tham số truy vấn có tên app_id:

<RevokeOAuthV2 continueOnError="false" enabled="true" name="MyRevokeTokenPolicy">
  <DisplayName>Revoke OAuth v2.0-1</DisplayName>
  <AppId ref="request.queryparam.app_id"></AppId>
</RevokeOAuthV2>

Do có mã ứng dụng của nhà phát triển, chính sách này sẽ thu hồi mã truy cập.

Thu hồi trước dấu thời gian

Để thu hồi mã truy cập theo mã ứng dụng của nhà phát triển đã tạo trước một ngày và giờ cụ thể, hãy sử dụng phần tử <RevokeBeforeTimestamp> trong chính sách của bạn. <RevokeBeforeTimestamp> chỉ định thời gian bắt đầu của hệ thống UTC tính bằng mili giây. Tất cả mã thông báo được phát hành trước thời điểm đó đều bị thu hồi.

Ví dụ sau đây thu hồi mã truy cập của một ứng dụng của nhà phát triển được tạo trước ngày 1 tháng 7 năm 2019:

<RevokeOAuthV2 continueOnError="false" enabled="true" name="MyRevokeTokenPolicy">
  <DisplayName>Revoke OAuth v2.0-1</DisplayName>
  <AppId ref="request.queryparam.app_id"></AppId>
  <RevokeBeforeTimestamp>1561939200000</RevokeBeforeTimestamp>
</RevokeOAuthV2>

Phần tử <RevokeBeforeTimestamp> lấy một số nguyên 64 bit (dài) biểu thị số mili giây đã trôi qua kể từ nửa đêm ngày 1 tháng 1 năm 1970 (giờ UTC).

Tham chiếu phần tử

Tài liệu tham khảo phần tử mô tả các phần tử và thuộc tính của chính sách over OAuthV2.

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<RevokeOAuthV2 continueOnError="false" enabled="true" name="GetOAuthV2Info-1">
  <DisplayName>Get OAuth v2.0 Info 1</DisplayName>
  <AppId ref="variable"></AppId>
  <EndUserId ref="variable"></EndUserId>
  <RevokeBeforeTimestamp ref="variable"></RevokeBeforeTimestamp>
  <Cascade>false</Cascade>
</RevokeOAuthV2>

Thuộc tính <collect OAuthV2>

<RevokeOAuthV2 continueOnError="false" enabled="true" name="Revoke-OAuth-v20-1">

Bảng sau đây mô tả các thuộc tính chung cho tất cả phần tử mẹ của chính sách:

Thuộc tính	Nội dung mô tả	Mặc định	Sự hiện diện
`name`	Tên nội bộ của chính sách. Giá trị của thuộc tính `name` có thể chứa chữ cái, số, dấu cách, dấu gạch nối, dấu gạch dưới và dấu chấm. Giá trị này không được vượt quá 255 ký tự. Nếu muốn, bạn có thể sử dụng phần tử `<DisplayName>` để gắn nhãn cho chính sách này trong trình chỉnh sửa proxy giao diện người dùng quản lý bằng tên ngôn ngữ tự nhiên khác.	Không áp dụng	Bắt buộc
`continueOnError`	Đặt thành `false` để trả về lỗi khi một chính sách không hoạt động. Đây là hành vi dự kiến đối với hầu hết các chính sách. Đặt thành `true` để quá trình thực thi luồng tiếp tục ngay cả khi chính sách không thành công.	false	Không bắt buộc
`enabled`	Đặt thành `true` để thực thi chính sách. Đặt thành `false` để tắt chính sách này. Chính sách này sẽ không được thực thi ngay cả khi chính sách vẫn được đính kèm vào một quy trình.	đúng	Không bắt buộc
`async`	Thuộc tính này không được dùng nữa.	false	Không được dùng nữa

Phần tử <DisplayName>

Sử dụng cùng với thuộc tính name để gắn nhãn cho chính sách trong trình chỉnh sửa proxy giao diện người dùng quản lý bằng tên khác theo ngôn ngữ tự nhiên.

<DisplayName>Policy Display Name</DisplayName>

Mặc định

Mặc định	Không áp dụng Nếu bạn bỏ qua phần tử này, thì giá trị thuộc tính `name` của chính sách sẽ được sử dụng.
Sự hiện diện	Không bắt buộc
Loại	Chuỗi

Không áp dụng

Nếu bạn bỏ qua phần tử này, thì giá trị thuộc tính name của chính sách sẽ được sử dụng.

Sự hiện diện Không bắt buộc

Loại Chuỗi

Phần tử <AppId>

Chỉ định mã ứng dụng của nhà phát triển của mã thông báo cần thu hồi. Truyền một biến chứa mã ứng dụng hoặc mã ứng dụng cố định.

<AppId>appIdString</AppId>

or:

<AppId ref="request.queryparam.app_id"></AppId>

Mặc định	`request.formparam.app_id` (một x-www-form-url được mã hoá và được chỉ định trong phần nội dung của yêu cầu)
Sự hiện diện	Không bắt buộc
Loại	Chuỗi
Giá trị hợp lệ	Biến luồng chứa chuỗi mã ứng dụng hoặc chuỗi ký tự.

Phần tử <Cascade>

Nếu true và bạn có một mã truy cập mờ truyền thống, thì cả mã làm mới và mã truy cập đều sẽ bị thu hồi nếu <AppId> hoặc <EndUserId> trùng khớp. Nếu là false, chỉ có mã truy cập bị thu hồi và mã làm mới sẽ không thay đổi. Hành vi tương tự chỉ áp dụng cho mã truy cập mờ.

<Cascade>false<Cascade>

Mặc định	false
Sự hiện diện	Không bắt buộc
Loại	Boolean
Giá trị hợp lệ	`true` hoặc `false`

Phần tử <EndUserId>

Chỉ định mã người dùng cuối của ứng dụng cần thu hồi. Truyền một biến chứa mã nhận dạng người dùng hoặc một chuỗi mã thông báo bằng giá trị cố định.

<EndUserId>userIdString</EndUserId>

or:

<EndUserId ref="request.queryparam.access_token"></EndUserId>

Mặc định	`request.formparam.enduser_id` (một x-www-form-url được mã hoá và được chỉ định trong phần nội dung của yêu cầu)
Sự hiện diện	Không bắt buộc
Loại	Chuỗi
Giá trị hợp lệ	Biến luồng chứa chuỗi mã nhận dạng người dùng hoặc chuỗi ký tự.

Phần tử <ProprietaryIdBeforeTimestamp>

Thu hồi mã thông báo được cấp trước dấu thời gian. Phần tử này hoạt động với <AppId> và <EndUserId> để cho phép bạn thu hồi mã thông báo trước một thời điểm cụ thể. Giá trị mặc định là thời gian mà chính sách thực thi.

<RevokeBeforeTimestamp>timeStampString</RevokeBeforeTimestamp>

or:

<RevokeBeforeTimestamp ref="request.queryparam.revoke_since_timestamp"></RevokeBeforeTimestamp>

Mặc định	Dấu thời gian thực thi chính sách.
Sự hiện diện	Không bắt buộc
Loại	Số nguyên 64 bit (dài) thể hiện số mili giây đã trôi qua kể từ nửa đêm ngày 1 tháng 1 năm 1970 (giờ UTC).
Giá trị hợp lệ	Biến luồng chứa dấu thời gian hoặc dấu thời gian cố định. Dấu thời gian không được ở trong tương lai và không được trước ngày 1 tháng 1 năm 2014.

Biến luồng

Chính sách collect OAuthV2 không đặt các biến luồng.

Tham chiếu lỗi

Phần này mô tả các mã lỗi và thông báo lỗi được trả về, cũng như các biến lỗi do Edge đặt khi chính sách này kích hoạt lỗi. Thông tin này đóng vai trò quan trọng trong việc phát triển các quy tắc lỗi để xử lý lỗi. Để tìm hiểu thêm, hãy xem Những điều bạn cần biết về lỗi chính sách và Xử lý lỗi.

Lỗi thời gian chạy

Những lỗi này có thể xảy ra khi thực thi chính sách. Tên lỗi hiển thị bên dưới là các chuỗi được gán cho biến fault.name khi xảy ra lỗi. Hãy xem phần Biến lỗi dưới đây để biết thêm thông tin.

Mã lỗi	Trạng thái HTTP	Nguyên nhân
`steps.oauth.v2.InvalidFutureTimestamp`	500	Dấu thời gian không được ở trong tương lai.
`steps.oauth.v2.InvalidEarlyTimestamp`	500	Dấu thời gian không được trước ngày 1 tháng 1 năm 2014.
`steps.oauth.v2.InvalidTimestamp`	500	Dấu thời gian không hợp lệ.
`steps.oauth.v2.EmptyAppAndEndUserId`	500	Không được để trống cả `AppdId` và `EndUserId`.

Lỗi triển khai

Hãy tham khảo thông báo được báo cáo trong giao diện người dùng để biết thông tin về lỗi triển khai.

Biến lỗi

Các biến này được đặt khi chính sách này kích hoạt lỗi trong thời gian chạy.

Biến	Trong đó	Ví dụ:
`fault.name="fault_name"`	`fault_name` là tên của lỗi, như liệt kê trong bảng Lỗi thời gian chạy ở trên. Tên lỗi là phần cuối cùng của mã lỗi.	`fault.name Matches "IPDeniedAccess"`
`oauthV2.policy_name.failed`	`policy_name` là tên của chính sách báo lỗi do người dùng chỉ định.	`oauthV2.GetTokenInfo.failed = true`
`oauthV2.policy_name.fault.name`	`policy_name` là tên của chính sách báo lỗi do người dùng chỉ định.	`oauthV2.GetToKenInfo.fault.name = invalid_client-invalid_client_id`
`oauthV2.policy_name.fault.cause`	`policy_name` là tên của chính sách báo lỗi do người dùng chỉ định.	`oauthV2.GetTokenInfo.cause = ClientID is Invalid`

Ví dụ về phản hồi lỗi

{
   "fault":{
      "faultstring":"Timestamp is in the future.",
      "detail":{
         "errorcode":"steps.oauth.v2.InvalidFutureTimestamp"
      }
   }
}

Ví dụ về quy tắc lỗi

<FaultRule name="RevokeOAuthV2 Faults">
    <Step>
        <Name>AM-InvalidTimestamp</Name>
    </Step>
    <Condition>(fault.name = "InvalidFutureTimestamp")</Condition>
</FaultRule>