Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về
Apigee X. thông tin
Tổng quan
Thu hồi mã truy cập OAuth2 được liên kết với mã ứng dụng của nhà phát triển hoặc mã nhận dạng người dùng cuối của ứng dụng, hoặc cả hai.
Dùng chính sách OAuthv2 để tạo mã truy cập OAuth 2.0. Mã thông báo do Apigee tạo ra có định dạng như sau:
{ "issued_at" : "1421847736581", "application_name" : "a68d01f8-b15c-4be3-b800-ceae8c456f5a", "scope" : "READ", "status" : "approved", "api_product_list" : "[PremiumWeatherAPI]", "expires_in" : "3599", //--in seconds "developer.email" : "tesla@weathersample.com", "organization_id" : "0", "token_type" : "BearerToken", "client_id" : "k3nJyFJIA3p62DWOkLO6OJNi87GYXFmP", "access_token" : "7S22UqXGJDTuUADGzJzjXzXSaGJL", "organization_name" : "myorg", "refresh_token_expires_in" : "0", //--in seconds "refresh_count" : "0" }
Phần tử application_name
chứa mã ứng dụng của nhà phát triển được liên kết với mã thông báo.
Theo mặc định, Apigee không chứa mã nhận dạng người dùng cuối trong mã thông báo. Bạn có thể định cấu hình Apigee để thêm mã nhận dạng người dùng cuối bằng cách thêm phần tử <AppEndUser>
vào chính sách OAuthv2:
<OAuthV2 name="GenerateAccessTokenClient"> <Operation>GenerateAccessTokenV/Operation> ... <AppEndUser>request.queryparam.app_enduser</AppEndUser> </OAuthV2>
Trong ví dụ này, hãy chuyển mã người dùng cuối tới chính sách OAuthv2 trong tham số truy vấn có tên app_enduser
.
Sau đó, mã nhận dạng người dùng cuối được đưa vào mã thông báo trong phần tử app_enduser
:
{ "issued_at" : "1421847736581", "application_name" : "a68d01f8-b15c-4be3-b800-ceae8c456f5a", "scope" : "READ", "app_enduser" : "6ZG094fgnjNf02EK", "status" : "approved", "api_product_list" : "[PremiumWeatherAPI]", "expires_in" : "3599", //--in seconds "developer.email" : "tesla@weathersample.com", "organization_id" : "0", "token_type" : "BearerToken", "client_id" : "k3nJyFJIA3p62DWOkLO6OJNi87GYXFmP", "access_token" : "7S22UqXGJDTuUADGzJzjXzXSaGJL", "organization_name" : "myorg", "refresh_token_expires_in" : "0", //--in seconds "refresh_count" : "0" }
Thu hồi theo mã ứng dụng của nhà phát triển
Thu hồi mã truy cập OAuth2 được liên kết với mã ứng dụng của nhà phát triển. Tất cả mã truy cập OAuth2 do Apigee tạo ra đều có mã của ứng dụng dành cho nhà phát triển được liên kết với mã thông báo này. Sau đó, bạn có thể thu hồi mã thông báo dựa trên mã ứng dụng đó.
Sử dụng API Ứng dụng dành cho nhà phát triển để nhận danh sách mã ứng dụng cho một nhà phát triển cụ thể.
Bạn cũng có thể sử dụng API Ứng dụng dành cho nhà phát triển để xem thông tin chi tiết về một ứng dụng.
Thu hồi theo mã người dùng cuối của ứng dụng
Thu hồi mã truy cập OAuth2 được liên kết với mã nhận dạng người dùng cuối của một ứng dụng cụ thể. Đây là mã thông báo liên kết với mã nhận dạng của người dùng được cấp mã thông báo.
Theo mặc định, không có trường nào cho mã nhận dạng người dùng cuối trong mã truy cập OAuth. Để bật tính năng thu hồi mã truy cập OAuth 2.0 theo mã người dùng cuối, bạn phải định cấu hình chính sách OAuthv2 để đưa mã người dùng vào mã thông báo, như hiển thị ở trên.
Để có mã nhận dạng người dùng cuối của ứng dụng, hãy sử dụng API Ứng dụng dành cho nhà phát triển.
Mẫu
Các mẫu sau đây sử dụng chính sách Thu hồi OAuth V2 để thu hồi mã truy cập OAuth2.
Mã ứng dụng của nhà phát triển
Để thu hồi mã truy cập theo mã ứng dụng của nhà phát triển, hãy sử dụng phần tử <AppId>
trong chính sách của bạn.
Ví dụ sau đây cho rằng bạn sẽ tìm thấy mã ứng dụng của nhà phát triển của mã truy cập trong tham số truy vấn có tên app_id
:
<RevokeOAuthV2 continueOnError="false" enabled="true" name="MyRevokeTokenPolicy"> <DisplayName>Revoke OAuth v2.0-1</DisplayName> <AppId ref="request.queryparam.app_id"></AppId> </RevokeOAuthV2>
Do có mã ứng dụng của nhà phát triển, chính sách này sẽ thu hồi mã truy cập.
Thu hồi trước dấu thời gian
Để thu hồi mã truy cập theo mã ứng dụng của nhà phát triển đã tạo trước một ngày và giờ cụ thể, hãy sử dụng phần tử <RevokeBeforeTimestamp>
trong chính sách của bạn. <RevokeBeforeTimestamp>
chỉ định thời gian bắt đầu của hệ thống UTC tính bằng mili giây. Tất cả mã thông báo được phát hành trước thời điểm đó đều bị thu hồi.
Ví dụ sau đây thu hồi mã truy cập của một ứng dụng của nhà phát triển được tạo trước ngày 1 tháng 7 năm 2019:
<RevokeOAuthV2 continueOnError="false" enabled="true" name="MyRevokeTokenPolicy"> <DisplayName>Revoke OAuth v2.0-1</DisplayName> <AppId ref="request.queryparam.app_id"></AppId> <RevokeBeforeTimestamp>1561939200000</RevokeBeforeTimestamp> </RevokeOAuthV2>
Phần tử <RevokeBeforeTimestamp>
lấy một số nguyên 64 bit (dài) biểu thị số mili giây đã trôi qua kể từ nửa đêm ngày 1 tháng 1 năm 1970 (giờ UTC).
Tham chiếu phần tử
Tài liệu tham khảo phần tử mô tả các phần tử và thuộc tính của chính sách over OAuthV2.
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <RevokeOAuthV2 continueOnError="false" enabled="true" name="GetOAuthV2Info-1"> <DisplayName>Get OAuth v2.0 Info 1</DisplayName> <AppId ref="variable"></AppId> <EndUserId ref="variable"></EndUserId> <RevokeBeforeTimestamp ref="variable"></RevokeBeforeTimestamp> <Cascade>false</Cascade> </RevokeOAuthV2>
Thuộc tính <collect OAuthV2>
<RevokeOAuthV2 continueOnError="false" enabled="true" name="Revoke-OAuth-v20-1">
Bảng sau đây mô tả các thuộc tính chung cho tất cả phần tử mẹ của chính sách:
Thuộc tính | Nội dung mô tả | Mặc định | Sự hiện diện |
---|---|---|---|
name |
Tên nội bộ của chính sách. Giá trị của thuộc tính Nếu muốn, bạn có thể sử dụng phần tử |
Không áp dụng | Bắt buộc |
continueOnError |
Đặt thành Đặt thành |
false | Không bắt buộc |
enabled |
Đặt thành Đặt thành |
đúng | Không bắt buộc |
async |
Thuộc tính này không được dùng nữa. |
false | Không được dùng nữa |
Phần tử <DisplayName>
Sử dụng cùng với thuộc tính name
để gắn nhãn cho chính sách trong trình chỉnh sửa proxy giao diện người dùng quản lý bằng tên khác theo ngôn ngữ tự nhiên.
<DisplayName>Policy Display Name</DisplayName>
Mặc định |
Không áp dụng Nếu bạn bỏ qua phần tử này, thì giá trị thuộc tính |
---|---|
Sự hiện diện | Không bắt buộc |
Loại | Chuỗi |
Phần tử <AppId>
Chỉ định mã ứng dụng của nhà phát triển của mã thông báo cần thu hồi. Truyền một biến chứa mã ứng dụng hoặc mã ứng dụng cố định.
<AppId>appIdString</AppId> or: <AppId ref="request.queryparam.app_id"></AppId>
Mặc định |
|
---|---|
Sự hiện diện |
Không bắt buộc |
Loại | Chuỗi |
Giá trị hợp lệ |
Biến luồng chứa chuỗi mã ứng dụng hoặc chuỗi ký tự. |
Phần tử <Cascade>
Nếu true
và bạn có một mã truy cập mờ truyền thống, thì cả mã làm mới và mã truy cập đều sẽ bị thu hồi nếu <AppId>
hoặc <EndUserId>
trùng khớp.
Nếu là false
, chỉ có mã truy cập bị thu hồi và mã làm mới sẽ không thay đổi. Hành vi tương tự chỉ áp dụng cho mã truy cập mờ.
<Cascade>false<Cascade>
Mặc định |
false |
---|---|
Sự hiện diện |
Không bắt buộc |
Loại | Boolean |
Giá trị hợp lệ | true hoặc false |
Phần tử <EndUserId>
Chỉ định mã người dùng cuối của ứng dụng cần thu hồi. Truyền một biến chứa mã nhận dạng người dùng hoặc một chuỗi mã thông báo bằng giá trị cố định.
<EndUserId>userIdString</EndUserId> or: <EndUserId ref="request.queryparam.access_token"></EndUserId>
Mặc định |
|
---|---|
Sự hiện diện |
Không bắt buộc |
Loại | Chuỗi |
Giá trị hợp lệ |
Biến luồng chứa chuỗi mã nhận dạng người dùng hoặc chuỗi ký tự. |
Phần tử <ProprietaryIdBeforeTimestamp>
Thu hồi mã thông báo được cấp trước dấu thời gian. Phần tử này hoạt động với <AppId>
và <EndUserId>
để cho phép bạn thu hồi mã thông báo trước một thời điểm cụ thể.
Giá trị mặc định là thời gian mà chính sách thực thi.
<RevokeBeforeTimestamp>timeStampString</RevokeBeforeTimestamp> or: <RevokeBeforeTimestamp ref="request.queryparam.revoke_since_timestamp"></RevokeBeforeTimestamp>
Mặc định |
Dấu thời gian thực thi chính sách. |
---|---|
Sự hiện diện |
Không bắt buộc |
Loại | Số nguyên 64 bit (dài) thể hiện số mili giây đã trôi qua kể từ nửa đêm ngày 1 tháng 1 năm 1970 (giờ UTC). |
Giá trị hợp lệ |
Biến luồng chứa dấu thời gian hoặc dấu thời gian cố định. Dấu thời gian không được ở trong tương lai và không được trước ngày 1 tháng 1 năm 2014. |
Biến luồng
Chính sách collect OAuthV2 không đặt các biến luồng.
Tham chiếu lỗi
Phần này mô tả các mã lỗi và thông báo lỗi được trả về, cũng như các biến lỗi do Edge đặt khi chính sách này kích hoạt lỗi. Thông tin này đóng vai trò quan trọng trong việc phát triển các quy tắc lỗi để xử lý lỗi. Để tìm hiểu thêm, hãy xem Những điều bạn cần biết về lỗi chính sách và Xử lý lỗi.
Lỗi thời gian chạy
Những lỗi này có thể xảy ra khi thực thi chính sách. Tên lỗi hiển thị bên dưới là các chuỗi được gán cho biến fault.name
khi xảy ra lỗi. Hãy xem phần Biến lỗi dưới đây để biết thêm thông tin.
Mã lỗi | Trạng thái HTTP | Nguyên nhân |
---|---|---|
steps.oauth.v2.InvalidFutureTimestamp |
500 | Dấu thời gian không được ở trong tương lai. |
steps.oauth.v2.InvalidEarlyTimestamp |
500 | Dấu thời gian không được trước ngày 1 tháng 1 năm 2014. |
steps.oauth.v2.InvalidTimestamp |
500 | Dấu thời gian không hợp lệ. |
steps.oauth.v2.EmptyAppAndEndUserId |
500 | Không được để trống cả AppdId và EndUserId . |
Lỗi triển khai
Hãy tham khảo thông báo được báo cáo trong giao diện người dùng để biết thông tin về lỗi triển khai.
Biến lỗi
Các biến này được đặt khi chính sách này kích hoạt lỗi trong thời gian chạy.
Biến | Trong đó | Ví dụ: |
---|---|---|
fault.name="fault_name" |
fault_name là tên của lỗi, như liệt kê trong bảng Lỗi thời gian chạy ở trên. Tên lỗi là phần cuối cùng của mã lỗi. | fault.name Matches "IPDeniedAccess" |
oauthV2.policy_name.failed |
policy_name là tên của chính sách báo lỗi do người dùng chỉ định. | oauthV2.GetTokenInfo.failed = true |
oauthV2.policy_name.fault.name |
policy_name là tên của chính sách báo lỗi do người dùng chỉ định. | oauthV2.GetToKenInfo.fault.name = invalid_client-invalid_client_id |
oauthV2.policy_name.fault.cause |
policy_name là tên của chính sách báo lỗi do người dùng chỉ định. | oauthV2.GetTokenInfo.cause = ClientID is Invalid |
Ví dụ về phản hồi lỗi
{ "fault":{ "faultstring":"Timestamp is in the future.", "detail":{ "errorcode":"steps.oauth.v2.InvalidFutureTimestamp" } } }
Ví dụ về quy tắc lỗi
<FaultRule name="RevokeOAuthV2 Faults"> <Step> <Name>AM-InvalidTimestamp</Name> </Step> <Condition>(fault.name = "InvalidFutureTimestamp")</Condition> </FaultRule>