Trang này được dịch bởi Cloud Translation API.

Thu hồi chính sách OAuth V2

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến Tài liệu về Apigee X. thông tin

Tổng quan

Thu hồi mã truy cập OAuth2 được liên kết với mã ứng dụng của nhà phát triển hay mã nhận dạng người dùng cuối của ứng dụng, hoặc cả hai.

Sử dụng chính sách OAuthv2 để tạo mã truy cập OAuth 2.0. Mã thông báo do Apigee tạo có định dạng như sau:

{
  "issued_at" : "1421847736581",
  "application_name" : "a68d01f8-b15c-4be3-b800-ceae8c456f5a",
  "scope" : "READ",
  "status" : "approved",
  "api_product_list" : "[PremiumWeatherAPI]",
  "expires_in" : "3599", //--in seconds
  "developer.email" : "tesla@weathersample.com",
  "organization_id" : "0",
  "token_type" : "BearerToken",
  "client_id" : "k3nJyFJIA3p62DWOkLO6OJNi87GYXFmP",
  "access_token" : "7S22UqXGJDTuUADGzJzjXzXSaGJL",
  "organization_name" : "myorg",
  "refresh_token_expires_in" : "0", //--in seconds
  "refresh_count" : "0"
}

Phần tử application_name chứa mã ứng dụng của nhà phát triển được liên kết với mã thông báo đó.

Theo mặc định, Apigee không thêm mã nhận dạng người dùng cuối vào mã thông báo. Bạn có thể thiết lập Apigee để thêm ID người dùng cuối bằng cách thêm phần tử <AppEndUser> vào chính sách OAuthv2:

<OAuthV2 name="GenerateAccessTokenClient">
    <Operation>GenerateAccessTokenV/Operation>
    ...
    <AppEndUser>request.queryparam.app_enduser</AppEndUser>
</OAuthV2>

Trong ví dụ này, hãy chuyển mã nhận dạng người dùng cuối vào chính sách OAuthv2 trong tham số truy vấn có tên app_enduser. Sau đó, mã nhận dạng người dùng cuối được đưa vào mã thông báo trong phần tử app_enduser:

{
 "issued_at" : "1421847736581",
 "application_name" : "a68d01f8-b15c-4be3-b800-ceae8c456f5a",
 "scope" : "READ",
 "app_enduser" : "6ZG094fgnjNf02EK",
 "status" : "approved",
 "api_product_list" : "[PremiumWeatherAPI]",
 "expires_in" : "3599", //--in seconds
 "developer.email" : "tesla@weathersample.com",
 "organization_id" : "0",
 "token_type" : "BearerToken",
 "client_id" : "k3nJyFJIA3p62DWOkLO6OJNi87GYXFmP",
 "access_token" : "7S22UqXGJDTuUADGzJzjXzXSaGJL",
 "organization_name" : "myorg",
 "refresh_token_expires_in" : "0", //--in seconds
 "refresh_count" : "0"
}

Thu hồi theo mã ứng dụng của nhà phát triển

Thu hồi mã truy cập OAuth2 được liên kết với mã ứng dụng của nhà phát triển. Tất cả mã truy cập OAuth2 do Apigee tạo đều có mã ứng dụng của nhà phát triển được liên kết với mã thông báo. Sau đó, bạn có thể thu hồi mã thông báo dựa trên mã ứng dụng đó.

Sử dụng API ứng dụng dành cho nhà phát triển để nhận danh sách mã ứng dụng cho một nhà phát triển cụ thể.
Bạn cũng có thể sử dụng API Ứng dụng dành cho nhà phát triển để xem thông tin chi tiết về một ứng dụng.

Thu hồi theo mã nhận dạng người dùng cuối của ứng dụng

Thu hồi mã truy cập OAuth2 được liên kết với mã nhận dạng người dùng cuối cụ thể của ứng dụng. Đây là mã thông báo được liên kết với mã nhận dạng của người dùng được phát hành mã thông báo.

Theo mặc định, không có trường mã nhận dạng người dùng cuối trong mã truy cập OAuth. Để cho phép thu hồi Mã truy cập OAuth 2.0 theo mã nhận dạng người dùng cuối, bạn phải định cấu hình chính sách OAuthv2 để bao gồm mã nhận dạng người dùng trong mã thông báo, như đã hiển thị ở trên.

Để nhận mã nhận dạng người dùng cuối của ứng dụng, hãy sử dụng API ứng dụng dành cho nhà phát triển.

Mẫu

Các mẫu sau đây dùng chính sách Thu hồi OAuth phiên bản 2 để thu hồi mã truy cập OAuth2.

Mã ứng dụng của nhà phát triển

Để thu hồi mã truy cập theo mã ứng dụng của nhà phát triển, hãy dùng phần tử <AppId> trong chính sách của bạn.

Ví dụ sau đây yêu cầu tìm mã ứng dụng của nhà phát triển của mã truy cập trong một tham số truy vấn có tên app_id:

<RevokeOAuthV2 continueOnError="false" enabled="true" name="MyRevokeTokenPolicy">
  <DisplayName>Revoke OAuth v2.0-1</DisplayName>
  <AppId ref="request.queryparam.app_id"></AppId>
</RevokeOAuthV2>

Khi chỉ định mã ứng dụng của nhà phát triển, chính sách này sẽ thu hồi mã truy cập.

Thu hồi trước dấu thời gian

Để thu hồi mã truy cập theo mã ứng dụng dành cho nhà phát triển đã được tạo trước một ngày và giờ cụ thể, hãy dùng phần tử <RevokeBeforeTimestamp> trong chính sách của bạn. <RevokeBeforeTimestamp> chỉ định thời gian bắt đầu của hệ thống UTC tính bằng mili giây. Tất cả các mã thông báo được phát hành trước thời điểm đó đều sẽ bị thu hồi.

Ví dụ sau đây thu hồi mã truy cập của ứng dụng nhà phát triển tạo trước ngày 1 tháng 7 năm 2019:

<RevokeOAuthV2 continueOnError="false" enabled="true" name="MyRevokeTokenPolicy">
  <DisplayName>Revoke OAuth v2.0-1</DisplayName>
  <AppId ref="request.queryparam.app_id"></AppId>
  <RevokeBeforeTimestamp>1561939200000</RevokeBeforeTimestamp>
</RevokeOAuthV2>

Phần tử <RevokeBeforeTimestamp> lấy một số nguyên 64 bit (dài) biểu thị số mili giây đã trôi qua kể từ nửa đêm ngày 1 tháng 1 năm 1970 (theo giờ UTC).

Tham chiếu phần tử

Tài liệu tham khảo phần tử mô tả các phần tử và thuộc tính của chính sách RevocationOAuthV2.

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<RevokeOAuthV2 continueOnError="false" enabled="true" name="GetOAuthV2Info-1">
  <DisplayName>Get OAuth v2.0 Info 1</DisplayName>
  <AppId ref="variable"></AppId>
  <EndUserId ref="variable"></EndUserId>
  <RevokeBeforeTimestamp ref="variable"></RevokeBeforeTimestamp>
  <Cascade>false</Cascade>
</RevokeOAuthV2>

<Thu hồiOAuthV2> thuộc tính

<RevokeOAuthV2 continueOnError="false" enabled="true" name="Revoke-OAuth-v20-1">

Bảng sau đây mô tả những thuộc tính chung cho tất cả phần tử mẹ của chính sách:

Thuộc tính	Mô tả	Mặc định	Sự hiện diện
`name`	Tên nội bộ của chính sách. Giá trị của thuộc tính `name` có thể chứa chữ cái, số, dấu cách, dấu gạch nối, dấu gạch dưới và dấu chấm. Giá trị này không được vượt quá 255 ký tự. (Không bắt buộc) Bạn có thể dùng phần tử `<DisplayName>` để gắn nhãn chính sách trong trình chỉnh sửa proxy giao diện người dùng quản lý bằng tên ngôn ngữ tự nhiên khác.	Không áp dụng	Bắt buộc
`continueOnError`	Đặt thành `false` để trả về lỗi khi chính sách không thành công. Điều này là dự kiến đối với hầu hết các chính sách. Đặt thành `true` để tiếp tục thực thi luồng ngay cả sau khi có chính sách không thành công.	false	Không bắt buộc
`enabled`	Hãy đặt thành `true` để thực thi chính sách này. Đặt thành `false` để tắt chính sách này. Chính sách này sẽ không được thực thi ngay cả khi luồng đó vẫn được liên kết với một luồng.	đúng	Không bắt buộc
`async`	Thuộc tính này không được dùng nữa.	false	Không được dùng nữa

<DisplayName> phần tử

Hãy sử dụng cùng với thuộc tính name để gắn nhãn chính sách trong phần trình chỉnh sửa proxy giao diện người dùng quản lý có tên ngôn ngữ tự nhiên khác.

<DisplayName>Policy Display Name</DisplayName>

Mặc định

Mặc định	Không áp dụng Nếu bạn bỏ qua phần tử này, giá trị của thuộc tính `name` của chính sách sẽ là đã sử dụng.
Sự hiện diện	Không bắt buộc
Loại	Chuỗi

Không áp dụng

Nếu bạn bỏ qua phần tử này, giá trị của thuộc tính name của chính sách sẽ là đã sử dụng.

Sự hiện diện Không bắt buộc

Loại Chuỗi

<AppId> phần tử

Chỉ định mã ứng dụng của nhà phát triển của các mã thông báo cần thu hồi. Truyền một biến chứa phương thức ID ứng dụng hoặc ID ứng dụng cố định.

<AppId>appIdString</AppId>

or:

<AppId ref="request.queryparam.app_id"></AppId>

Mặc định	`request.formparam.app_id` (một x-www-form-url được mã hoá và chỉ định trong yêu cầu nội dung)
Sự hiện diện	Không bắt buộc
Loại	Chuỗi
Giá trị hợp lệ	Biến luồng chứa chuỗi mã ứng dụng hoặc chuỗi cố định.

<Thác> phần tử

Nếu true và bạn có mã truy cập mờ truyền thống, thì cả hai mã làm mới và mã truy cập sẽ bị thu hồi nếu <AppId> hoặc <EndUserId> trùng khớp. Nếu giá trị là false, chỉ có mã truy cập được thu hồi và mã làm mới không thay đổi. Áp dụng hành vi tương tự chỉ dành cho mã truy cập không rõ ràng.

<Cascade>false<Cascade>

Mặc định	false
Sự hiện diện	Không bắt buộc
Loại	Boolean
Giá trị hợp lệ	`true` hoặc `false`

<EndUserId> phần tử

Chỉ định mã nhận dạng người dùng cuối của ứng dụng của mã thông báo cần thu hồi. Truyền một biến chứa phương thức user ID hoặc một chuỗi mã thông báo bằng chữ.

<EndUserId>userIdString</EndUserId>

or:

<EndUserId ref="request.queryparam.access_token"></EndUserId>

Mặc định	`request.formparam.enduser_id` (một x-www-form-url được mã hoá và chỉ định trong yêu cầu nội dung)
Sự hiện diện	Không bắt buộc
Loại	Chuỗi
Giá trị hợp lệ	Biến luồng chứa chuỗi mã nhận dạng người dùng hoặc chuỗi cố định.

<RevokeBeforeTimestamp> phần tử

Thu hồi những mã thông báo được phát hành trước dấu thời gian này. Phần tử này hoạt động với <AppId> và <EndUserId> để thu hồi mã thông báo trước một thời điểm cụ thể. Giá trị mặc định là thời gian chính sách thực thi.

<RevokeBeforeTimestamp>timeStampString</RevokeBeforeTimestamp>

or:

<RevokeBeforeTimestamp ref="request.queryparam.revoke_since_timestamp"></RevokeBeforeTimestamp>

Mặc định	Dấu thời gian khi chính sách được thực thi.
Sự hiện diện	Không bắt buộc
Loại	Số nguyên 64 bit (dài) biểu thị số mili giây đã trôi qua kể từ nửa đêm, vào ngày 1 tháng 1 năm 1970 (giờ UTC).
Giá trị hợp lệ	Biến luồng chứa dấu thời gian hoặc dấu thời gian bằng chữ. Dấu thời gian không được ở trong tương lai và không được trước ngày 1 tháng 1 năm 2014.

Biến luồng

Chính sách Thu hồiOAuthV2 không đặt các biến luồng.

Tham chiếu lỗi

Phần này mô tả các mã lỗi và thông báo lỗi được trả về cũng như các biến lỗi do Edge đặt khi chính sách này kích hoạt lỗi. Thông tin này rất quan trọng nếu bạn đang phát triển các quy tắc lỗi để xử lý lỗi. Để tìm hiểu thêm, hãy xem bài viết Những điều bạn cần biết về lỗi chính sách và Xử lý lỗi.

Lỗi thời gian chạy

Những lỗi này có thể xảy ra khi chính sách này thực thi. Tên lỗi được hiển thị bên dưới là các chuỗi được gán cho biến fault.name khi xảy ra lỗi. Xem lỗi về biến bên dưới để biết thêm thông tin chi tiết.

Mã lỗi	Trạng thái HTTP	Nguyên nhân
`steps.oauth.v2.InvalidFutureTimestamp`	500	Dấu thời gian không được ở trong tương lai.
`steps.oauth.v2.InvalidEarlyTimestamp`	500	Dấu thời gian không được sớm hơn ngày 1 tháng 1 năm 2014.
`steps.oauth.v2.InvalidTimestamp`	500	Dấu thời gian không hợp lệ.
`steps.oauth.v2.EmptyAppAndEndUserId`	500	Cả `AppdId` và `EndUserId` đều không được để trống.

Lỗi triển khai

Hãy tham khảo thông báo được báo cáo trong giao diện người dùng để biết thông tin về các lỗi triển khai.

Biến lỗi

Các biến này được đặt khi chính sách này kích hoạt lỗi trong thời gian chạy.

Biến	Trong đó	Ví dụ:
`fault.name="fault_name"`	`fault_name` là tên của lỗi, như được liệt kê trong bảng Lỗi thời gian chạy ở trên. Tên lỗi là phần cuối cùng của mã lỗi.	`fault.name Matches "IPDeniedAccess"`
`oauthV2.policy_name.failed`	`policy_name` là tên do người dùng chỉ định của chính sách gây ra lỗi.	`oauthV2.GetTokenInfo.failed = true`
`oauthV2.policy_name.fault.name`	`policy_name` là tên do người dùng chỉ định của chính sách gây ra lỗi.	`oauthV2.GetToKenInfo.fault.name = invalid_client-invalid_client_id`
`oauthV2.policy_name.fault.cause`	`policy_name` là tên do người dùng chỉ định của chính sách gây ra lỗi.	`oauthV2.GetTokenInfo.cause = ClientID is Invalid`

Ví dụ về phản hồi khi gặp lỗi

{
   "fault":{
      "faultstring":"Timestamp is in the future.",
      "detail":{
         "errorcode":"steps.oauth.v2.InvalidFutureTimestamp"
      }
   }
}

Ví dụ về quy tắc lỗi

<FaultRule name="RevokeOAuthV2 Faults">
    <Step>
        <Name>AM-InvalidTimestamp</Name>
    </Step>
    <Condition>(fault.name = "InvalidFutureTimestamp")</Condition>
</FaultRule>