Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến
Tài liệu về Apigee X. thông tin
Nội dung
Xác minh chữ ký trên JWS nhận được từ ứng dụng hoặc hệ thống khác. Chính sách này cũng trích xuất tiêu đề thành các biến ngữ cảnh để các chính sách hoặc điều kiện tiếp theo có thể kiểm tra các giá trị đó để đưa ra quyết định uỷ quyền hoặc định tuyến. Hãy xem bài viết Tổng quan về chính sách JWS và JWT để biết phần giới thiệu chi tiết.
Nếu JWS đã được xác minh và hợp lệ, thì yêu cầu sẽ được được phép tiếp tục. Nếu hệ thống không xác minh được chữ ký JWS hoặc nếu JWS không hợp lệ do một loại lỗi nào đó, tất cả quá trình xử lý sẽ ngừng và một lỗi được trả về trong phản hồi.
Để tìm hiểu về các thành phần của JWS cũng như cách các thành phần đó được mã hoá và ký, hãy tham khảo RFC7515.
Video
Xem một video ngắn để tìm hiểu cách xác minh chữ ký trên JWS. Trong khi video này đang cụ thể cho việc xác minh JWT, nhiều khái niệm giống nhau đối với JWS.
Mẫu
- Xác minh một JWS đính kèm được ký với HS256 thuật toán
- Xác minh một JWS độc lập và ký bằng RS256 thuật toán
Xác minh một JWS đính kèm được ký bằng HS256 thuật toán
Chính sách mẫu này xác minh một JWS đính kèm đã được ký bằng thuật toán mã hoá HS256, HMAC
bằng cách sử dụng giá trị tổng kiểm SHA-256. JWS được chuyển vào yêu cầu proxy bằng cách sử dụng một tham số biểu mẫu có tên
JWS. Khoá này nằm trong một biến có tên là private.secretkey.
Một JWS đính kèm chứa tiêu đề, tải trọng và chữ ký được mã hoá:
header.payload.signature
Cấu hình chính sách bao gồm thông tin mà Edge cần để giải mã và đánh giá JWS,
chẳng hạn như nơi tìm JWS (trong một biến luồng được chỉ định trong phần tử <Source>),
thuật toán ký bắt buộc và nơi tìm khoá bí mật (được lưu trữ trong biến luồng Edge, có thể
đã được truy xuất từ Edge KVM).
<VerifyJWS name="JWS-Verify-HS256">
<DisplayName>JWS Verify HS256</DisplayName>
<Algorithm>HS256</Algorithm>
<Source>request.formparam.JWS</Source>
<IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
<SecretKey>
<Value ref="private.secretkey"/>
</SecretKey>
</VerifyJWS>
Chính sách ghi kết quả vào các biến ngữ cảnh để các chính sách hoặc điều kiện tiếp theo trong proxy API có thể kiểm tra các giá trị đó. Hãy xem bài viết Các biến Luồng để biết danh sách các biến do chính sách này đặt ra.
Xác minh một JWS độc lập và ký bằng RS256 thuật toán
Chính sách mẫu này xác minh một JWS tách rời và được ký bằng thuật toán RS256. Để xác minh,
bạn cần cung cấp khoá công khai. JWS được chuyển vào yêu cầu proxy bằng cách sử dụng một tham số biểu mẫu
có tên là JWS. Khoá công khai này nằm trong một biến có tên là public.publickey.
Một JWS đã tách rời bỏ qua trọng tải khỏi JWS:
header..signature
Bạn có tuỳ ý truyền tải trọng đến chính sách VerifyJWS bằng cách chỉ định tên biến chứa tải trọng đó
Phần tử <DetachedContent>. Nội dung được chỉ định trong <DetachedContent>
phải ở dạng chưa được mã hoá ban đầu như khi chữ ký JWS được tạo.
<VerifyJWS name="JWS-Verify-RS256">
<DisplayName>JWS Verify RS256</DisplayName>
<Algorithm>RS256</Algorithm>
<Source>request.formparam.JWS</Source>
<IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
<PublicKey>
<Value ref="public.publickey"/>
</PublicKey>
<DetachedContent>private.payload</DetachedContent>
</VerifyJWS>
Chính sách ghi kết quả vào các biến ngữ cảnh để các chính sách hoặc điều kiện tiếp theo trong proxy API có thể kiểm tra các giá trị đó. Hãy xem bài viết Các biến Luồng để biết danh sách các biến do chính sách này đặt ra.
Thiết lập các thành phần chính
Các phần tử mà bạn dùng để chỉ định khoá dùng để xác minh JWS sẽ phụ thuộc vào thuật toán đã chọn, như minh hoạ trong bảng sau:
| Thuật toán | phần tử chính | |
|---|---|---|
| HS* |
<SecretKey> <Value ref="private.secretkey"/> </SecretKey> |
|
| RS*, Tây Ban Nha*, PS* | <PublicKey> <Value ref="rsa_public_key"/> </PublicKey> hoặc: <PublicKey> <JWKS ref="jwks_val_ref_or_url"/> </PublicKey> |
|
| *Để biết thêm về các yêu cầu chính, hãy xem Giới thiệu về thuật toán mã hoá chữ ký. | ||
Tham chiếu phần tử
Tài liệu tham khảo chính sách này mô tả các thành phần và thuộc tính của chính sách Xác minh JWS.
Lưu ý: Cấu hình sẽ khác nhau đôi chút tuỳ thuộc vào phương thức mã hoá mà bạn sử dụng. Hãy tham khảo phần Ứng dụng mẫu để xem các ví dụ minh hoạ cho các trường hợp sử dụng cụ thể.
Các thuộc tính áp dụng cho phần tử cấp cao nhất
<VerifyJWS name="JWS" continueOnError="false" enabled="true" async="false">
Các thuộc tính sau đây áp dụng chung cho tất cả phần tử mẹ của chính sách.
| Thuộc tính | Nội dung mô tả | Mặc định | Sự hiện diện |
|---|---|---|---|
| tên |
Tên nội bộ của chính sách. Bạn chỉ có thể sử dụng các ký tự trong tên này:
A-Z0-9._\-$ %. Tuy nhiên, giao diện người dùng quản lý Edge sẽ thực thi thêm
các hạn chế cụ thể, chẳng hạn như tự động xoá các ký tự không phải là chữ và số.
Bạn có thể dùng phần tử |
Không áp dụng | Bắt buộc |
| continueOnError |
Đặt thành false để trả về lỗi khi chính sách không thành công. Điều này là dự kiến
đối với hầu hết các chính sách.
Đặt thành |
false | Không bắt buộc |
| đang bật |
Hãy đặt thành true để thực thi chính sách này.
Đặt thành |
đúng | Không bắt buộc |
| không đồng bộ | Thuộc tính này không được dùng nữa. | false | Không được dùng nữa |
<DisplayName>
<DisplayName>Policy Display Name</DisplayName>
Sử dụng cùng với thuộc tính name để gắn nhãn chính sách trong trình chỉnh sửa proxy giao diện người dùng quản lý bằng một tên ngôn ngữ tự nhiên khác.
| Mặc định | Nếu bạn bỏ qua phần tử này, giá trị của thuộc tính tên của chính sách sẽ được sử dụng. |
| Sự hiện diện | Không bắt buộc |
| Loại | Chuỗi |
<Algorithm>
<Algorithm>HS256</Algorithm>
Chỉ định thuật toán mã hoá để ký mã thông báo. Các thuật toán RS*/PS*/ES* sử dụng một cặp khoá công khai/bí mật, còn thuật toán HS* sử dụng một bí mật dùng chung. Xem thêm Giới thiệu về các thuật toán mã hoá chữ ký.
Bạn có thể chỉ định nhiều giá trị được phân tách bằng dấu phẩy. Ví dụ: "HS256, HS512" hoặc "RS256, PS256". Tuy nhiên, bạn không thể kết hợp thuật toán HS* với bất kỳ thuật toán nào khác hoặc thuật toán ES* với bất kỳ thuật toán nào khác vì chúng yêu cầu một loại khoá cụ thể. Bạn có thể kết hợp các thuật toán RS* và PS*.
| Mặc định | Không áp dụng |
| Sự hiện diện | Bắt buộc |
| Loại | Chuỗi giá trị được phân tách bằng dấu phẩy |
| Giá trị hợp lệ | HS256, HS384, HS512, RS256, RS384, RS512, ES256, ES384, ES512, PS256, PS384, PS512 |
<AdditionalHeaders/Claim>
<AdditionalHeaders>
<Claim name='claim1'>explicit-value-of-claim-here</Claim>
<Claim name='claim2' ref='variable-name-here'/>
<Claim name='claim3' ref='variable-name-here' type='boolean'/>
<Claim name='claim4' ref='variable-name' type='string' array='true'/>
</AdditionalHeaders>
Kiểm tra để đảm bảo rằng tiêu đề JWS chứa(các) cặp giá trị/tên xác nhận bổ sung được chỉ định và các giá trị xác nhận quyền sở hữu đã được xác nhận trùng khớp.
Yêu cầu bổ sung sử dụng tên không phải là một trong các tên yêu cầu bổ sung tiêu chuẩn đã đăng ký của JWS. Giá trị của một thông báo xác nhận quyền sở hữu bổ sung có thể là một chuỗi, một số, một boolean, một ánh xạ hoặc một mảng. Một bản đồ chỉ là một tập hợp các cặp tên/giá trị. Bạn có thể chỉ định giá trị cho thông báo xác nhận quyền sở hữu thuộc bất kỳ loại nào trong số các loại này rõ ràng trong cấu hình chính sách hoặc gián tiếp thông qua việc tham chiếu đến biến luồng.
| Mặc định | Không áp dụng |
| Sự hiện diện | Không bắt buộc |
| Loại |
Chuỗi (mặc định), số, boolean hoặc ánh xạ. Kiểu mặc định là Chuỗi nếu không có kiểu nào được chỉ định. |
| Mảng | Đặt thành true để cho biết liệu giá trị có phải là một mảng loại hay không. Mặc định: sai |
| Giá trị hợp lệ | Bất kỳ giá trị nào mà bạn muốn sử dụng để xác nhận quyền sở hữu bổ sung. |
Phần tử <Claim> có các thuộc tính sau:
- name – (Bắt buộc) Tên của thông báo xác nhận quyền sở hữu.
- ref – (Không bắt buộc) Tên của một biến luồng. Nếu có, chính sách sẽ sử dụng giá trị của đoạn mã này làm thông báo xác nhận quyền sở hữu. Nếu bạn đã chỉ định cả thuộc tính ref và giá trị xác nhận rõ ràng thì giá trị rõ ràng là mặc định và được dùng nếu biến luồng được tham chiếu không được giải quyết.
- type – (Không bắt buộc) Một trong các giá trị: string (mặc định), number, boolean hoặc map
- array – (Tùy chọn) Đặt thành true để cho biết giá trị có phải là một mảng loại hay không. Mặc định: false.
<DetachedContent>
<DetachedContent>variable-name-here</DetachedContent>
Một JWS được tạo có tải trọng nội dung có dạng như sau:
header.payload.signature
Nếu bạn sử dụng chính sáchGenerateJWS để tạo tải trọng tách rời, thì JWS đã tạo sẽ bỏ qua phần tải trọng này và trong biểu mẫu:
header..signature
Đối với tải trọng tách rời, bạn có thể tuỳ ý truyền tải trọng đó đến chính sách VerifyJWS bằng cách sử dụng
Phần tử <DetachedContent>. Tải trọng nội dung được chỉ định phải nằm trong
ở dạng không được mã hoá ban đầu đó là thời điểm chữ ký JWS được tạo.
Chính sách này sẽ báo lỗi khi:
<DetachedContent>được chỉ định khi JWS không chứa nội dung tách rời tải trọng (mã lỗi làsteps.jws.ContentIsNotDetached).<DetachedContent>bị bỏ qua và JWS có tải trọng nội dung tách rời (mã lỗi làsteps.jws.InvalidSignature).
| Mặc định | N/A |
| Sự hiện diện | Không bắt buộc |
| Loại | Tham chiếu biến |
<IgnoreCriticalHeaders>
<IgnoreCriticalHeaders>true|false</IgnoreCriticalHeaders>
Đặt thành false nếu bạn muốn chính sách hiển thị lỗi khi có bất kỳ tiêu đề nào được liệt kê trong
tiêu đề crit của JWS không có trong phần tử <KnownHeaders>.
Bạn có thể đặt thành true để khiến chính sách VerifyJWS bỏ qua tiêu đề crit.
Một lý do để đặt phần tử này thành true là nếu bạn đang trong môi trường thử nghiệm và bạn không muốn chính sách không thành công do thiếu tiêu đề.
| Mặc định | false |
| Sự hiện diện | Không bắt buộc |
| Loại | Boolean |
| Giá trị hợp lệ | true hoặc false |
<IgnoreUnresolvedVariables>
<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>
Đặt thành false nếu bạn muốn chính sách gửi thông báo lỗi khi bất kỳ biến nào được tham chiếu được chỉ định không thể giải quyết được trong chính sách. Đặt thành true để coi mọi biến không thể giải quyết là một chuỗi trống (rỗng).
| Mặc định | false |
| Sự hiện diện | Không bắt buộc |
| Loại | Boolean |
| Giá trị hợp lệ | true hoặc false |
<KnownHeaders>
<KnownHeaders>a,b,c</KnownHeaders> or: <KnownHeaders ref=’variable_containing_headers’/>
Chính sáchGenerateJWS sử dụng phần tử <CriticalHeaders> để điền giá trị
crit trong một mã thông báo. Ví dụ:
{
“typ: “...”,
“alg” : “...”,
“crit” : [ “a”, “b”, “c” ],
}
Chính sách VerifyJWS kiểm tra tiêu đề crit trong JWS (nếu có) và đối với từng mục được liệt kê
sẽ kiểm tra để đảm bảo phần tử <KnownHeaders> cũng liệt kê tiêu đề đó. Chiến lược phát hành đĩa đơn
Phần tử <KnownHeaders> có thể chứa tập mẹ của các mục được liệt kê trong crit.
Chỉ cần tất cả các tiêu đề được liệt kê trong crit phải được liệt kê trong
Phần tử <KnownHeaders>. Bất kỳ tiêu đề nào mà chính sách tìm thấy trong crit
không được liệt kê trong <KnownHeaders> sẽ khiến chính sách VerifyJWS không thành công.
Bạn có thể định cấu hình chính sách VerifyJWS để bỏ qua tiêu đề crit (không bắt buộc) bằng cách
đặt phần tử <IgnoreCriticalHeaders> thành true.
| Mặc định | Không áp dụng |
| Sự hiện diện | Không bắt buộc |
| Loại | Mảng chuỗi được phân tách bằng dấu phẩy |
| Giá trị hợp lệ | Một mảng hoặc tên của một biến chứa mảng đó. |
<PublicKey/JWKS>
<!-- Specify the JWKS. --> <PublicKey> <JWKS>jwks-value-here</JWKS> </PublicKey> or: <!-- Specify a variable containing the JWKS. --> <PublicKey> <JWKS ref="public.jwks"/> </PublicKey> or: <!-- Specify a public URL that returns the JWKS. The URL is static, meaning you cannot set it using a variable. --> <PublicKey> <JWKS uri="jwks-url"/> </PublicKey>
Chỉ định một giá trị ở định dạng JWKS (RFC 7517) có chứa một tập hợp các khoá công khai. Chỉ sử dụng khi thuật toán là một trong các chuẩn RS256/RS384/RS512, PS256/PS384/PS512 hoặc ES256/ES384/ES512.
Nếu JWS đến có một mã khoá có trong tập hợp JWKS thì chính sách này sẽ sử dụng đúng khoá công khai để xác minh chữ ký JWS. Để biết thông tin về tính năng này, hãy xem Sử dụng Bộ khoá web JSON (JWKS) để xác minh JWS.
Nếu bạn tìm nạp giá trị từ một URL công khai, thì Edge sẽ lưu JWKS vào bộ nhớ đệm trong khoảng thời gian 300 giây. Khi bộ nhớ đệm hết hạn, Edge sẽ tìm nạp lại JWKS.
| Mặc định | Không áp dụng |
| Sự hiện diện | Để xác minh JWS bằng thuật toán RSA, bạn phải sử dụng hàm JWKS hoặc Giá trị . |
| Loại | Chuỗi |
| Giá trị hợp lệ | Biến luồng, giá trị chuỗi hoặc URL. |
<PublicKey/Value>
<PublicKey>
<Value ref="public.publickey"/>
</PublicKey>
-or-
<PublicKey>
<Value>
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAw2kPrRzcufvUNHvTH/WW
Q0UrCw5c0+Y707KX3PpXkZGbtTT4nvU1jC0d1lHV8MfUyRXmpmnNxJHAC2F73IyN
C5TBtXMORc+us7A2cTtC4gZV256bT4h3sIEMsDl0Joz9K9MPzVPFxa1i0RgNt06n
Xn/Bs2UbbLlKP5Q1HPxewUDEh0gVMqz9wdIGwH1pPxKvd3NltYGfPsUQovlof3l2
ALvO7i5Yrm96kknfFEWf1EjmCCKvz2vjVbBb6mp1ZpYfc9MOTZVpQcXSbzb/BWUo
ZmkDb/DRW5onclGzxQITBFP3S6JXd4LNESJcTp705ec1cQ9Wp2Kl+nKrKyv1E5Xx
DQIDAQAB
-----END PUBLIC KEY-----
</Value>
</PublicKey>
Chỉ định khoá công khai dùng để xác minh chữ ký trên JWS. Sử dụng thuộc tính tham chiếu để truyền khoá vào một biến luồng hoặc chỉ định trực tiếp khoá được mã hoá PEM. Chỉ sử dụng khi thuật toán là một trong các thuật toán RS256/RS384/RS512, PS256/PS384/PS512 hoặc ES256/ES384/ES512.
| Mặc định | Không áp dụng |
| Sự hiện diện | Để xác minh JWS ký bằng thuật toán RSA, bạn phải sử dụng JWKS hoặc Phần tử giá trị. |
| Loại | Chuỗi |
| Giá trị hợp lệ | Biến luồng hoặc chuỗi. |
<SecretKey/Value>
<SecretKey> <Value ref="private.your-variable-name"/> </SecretKey>
Cung cấp khoá bí mật dùng để xác minh hoặc ký mã thông báo bằng thuật toán HMAC. Chỉ sử dụng khi thuật toán là HS256, HS384, HS512. Sử dụng thuộc tính ref để truyền khoá trong một biến luồng.
| Mặc định | Không áp dụng |
| Sự hiện diện | Bắt buộc đối với các thuật toán HMAC. |
| Loại | Chuỗi |
| Giá trị hợp lệ |
Biến luồng tham chiếu đến một chuỗi.
Lưu ý: Nếu là một biến luồng, thì biến đó phải có tiền tố "private". Ví dụ:
|
<Source>
<Source>JWS-variable</Source>
Nếu có, hãy chỉ định biến luồng mà chính sách dự kiến sẽ tìm JWS xác minh.
| Mặc định | request.header.authorization (Xem ghi chú ở trên để biết thông tin quan trọng
về mặc định). |
| Sự hiện diện | Không bắt buộc |
| Loại | Chuỗi |
| Giá trị hợp lệ | Tên biến luồng cạnh. |
Biến luồng
Sau khi thành công, các chính sách Xác minh JWS và Giải mã JWS đã được thiết lập biến ngữ cảnh theo mẫu sau:
jws.{policy_name}.{variable_name}
Ví dụ: nếu tên chính sách là verify-jws, thì chính sách sẽ lưu trữ
thuật toán được chỉ định trong JWS cho biến ngữ cảnh này:
jws.verify-jws.header.algorithm
| Tên biến | Mô tả |
|---|---|
decoded.header.name |
Giá trị có thể phân tích cú pháp JSON của một tiêu đề trong tải trọng. Một biến được đặt cho
mọi tiêu đề trong tải trọng. Mặc dù bạn cũng có thể sử dụng các biến luồng header.name,
đây là biến được đề xuất dùng để truy cập vào tiêu đề. |
header.algorithm |
Thuật toán ký dùng trên JWS. Ví dụ: RS256, HS384, v.v. Hãy xem mục Thông số tiêu đề(Thuật toán) để tìm hiểu thêm. |
header.kid |
Mã khoá, nếu được thêm vào khi JWS được tạo. Xem thêm bài viết "Sử dụng bộ khoá web JSON (JWKS)" tại JWT và JWS tổng quan về chính sách để xác minh JWS. Hãy xem Tham số tiêu đề(Mã khoá) để tìm hiểu thêm. |
header.type |
Giá trị loại tiêu đề. Xem Thông số tiêu đề(Loại) để tìm hiểu thêm. |
header.name |
Giá trị của tiêu đề có tên (tiêu chuẩn hoặc bổ sung). Một trong những mức giá trị này sẽ được đặt cho mọi tiêu đề bổ sung trong phần tiêu đề của JWS. |
header-json |
Tiêu đề ở định dạng JSON. |
payload |
Tải trọng JWS nếu JWS có một tải trọng đính kèm. Đối với tải trọng tách rời, biến này trống. |
valid |
Trong trường VerifyJWS, biến này sẽ có giá trị true khi chữ ký được xác minh và
thời gian hiện tại là trước khi mã thông báo hết hạn và sau giá trị notBefore mã thông báo, nếu chúng
đều có sẵn. Còn không thì cờ này sẽ là false.
Trong trường hợp DecodeJWS, biến này không được thiết lập. |
Tham chiếu lỗi
Phần này mô tả các mã lỗi và thông báo lỗi được trả về, cũng như các biến lỗi do Edge đặt khi chính sách này kích hoạt lỗi. Thông tin này đóng vai trò quan trọng trong việc phát triển các quy tắc lỗi để xử lý lỗi. Để tìm hiểu thêm, hãy xem Những điều bạn cần biết về lỗi chính sách và Xử lý lỗi.
Lỗi thời gian chạy
Những lỗi này có thể xảy ra khi thực thi chính sách.
| Mã lỗi | Trạng thái HTTP | Xảy ra khi |
|---|---|---|
steps.jws.AlgorithmInTokenNotPresentInConfiguration |
401 | Xảy ra khi chính sách xác minh có nhiều thuật toán |
steps.jws.AlgorithmMismatch |
401 | Thuật toán do chính sách Tạo chỉ định trong tiêu đề không khớp với thuật toán dự kiến trong chính sách Xác minh. Thuật toán được chỉ định phải khớp. |
steps.jws.ContentIsNotDetached |
401 | <DetachedContent> được chỉ định khi JWS không chứa tải trọng nội dung có thể tách rời. |
steps.jws.FailedToDecode |
401 | Chính sách không thể giải mã JWS. JWS có thể bị hỏng. |
steps.jws.InsufficientKeyLength |
401 | Đối với khoá nhỏ hơn 32 byte đối với thuật toán HS256 |
steps.jws.InvalidClaim |
401 | Đối với thông báo xác nhận quyền sở hữu bị thiếu hoặc không khớp hoặc thiếu tiêu đề hoặc tiêu đề không khớp. |
steps.jws.InvalidCurve |
401 | Đường cong do khoá chỉ định không hợp lệ cho thuật toán Đường cong Elliptic. |
steps.jws.InvalidJsonFormat |
401 | Tìm thấy JSON không hợp lệ trong tiêu đề JWS. |
steps.jws.InvalidJws |
401 | Lỗi này xảy ra khi không xác minh được chữ ký JWS. |
steps.jws.InvalidPayload |
401 | Tải trọng JWS không hợp lệ. |
steps.jws.InvalidSignature |
401 | <DetachedContent> bị bỏ qua và JWS có tải trọng nội dung tách rời. |
steps.jws.KeyIdMissing |
401 | Chính sách Xác minh sử dụng JWKS làm nguồn cho khoá công khai, nhưng JWS đã ký không
có thuộc tính kid trong tiêu đề. |
steps.jws.KeyParsingFailed |
401 | Không thể phân tích cú pháp khoá công khai từ thông tin khoá đã cho. |
steps.jws.MissingPayload |
401 | Thiếu tải trọng JWS. |
steps.jws.NoAlgorithmFoundInHeader |
401 | Xảy ra khi JWS bỏ qua tiêu đề thuật toán. |
steps.jws.NoMatchingPublicKey |
401 | Chính sách Xác minh sử dụng JWKS làm nguồn cho khoá công khai, nhưng kid
trong JWS đã ký không có trong JWKS. |
steps.jws.UnhandledCriticalHeader |
401 | Một tiêu đề mà chính sách Xác minh JWS tìm thấy trong tiêu đề crit không được liệt kê trong KnownHeaders. |
steps.jws.UnknownException |
401 | Đã xảy ra ngoại lệ không xác định. |
steps.jws.WrongKeyType |
401 | Chỉ định sai loại khoá. Ví dụ: nếu bạn chỉ định khoá RSA cho thuật toán Elliptic Curve hoặc khoá đường cong cho thuật toán RSA. |
Lỗi triển khai
Những lỗi này có thể xảy ra khi bạn triển khai proxy chứa chính sách này.
| Tên lỗi | Xảy ra khi |
|---|---|
InvalidAlgorithm |
Các giá trị hợp lệ duy nhất là: RS256, RS384, RS512, PS256, PS384, PS512, ES256, ES384, ES512, HS256, HS384, HS512. |
|
|
Các lỗi triển khai khác có thể xảy ra. |
Biến lỗi
Các biến này được đặt khi xảy ra lỗi thời gian chạy. Để biết thêm thông tin, hãy xem bài viết Những điều bạn cần biết về lỗi chính sách.
| Biến | Trong đó | Ví dụ: |
|---|---|---|
fault.name="fault_name" |
fault_name là tên của lỗi, như được liệt kê trong bảng Lỗi thời gian chạy ở trên. Tên lỗi là phần cuối cùng của mã lỗi. | fault.name Matches "TokenExpired" |
JWS.failed |
Tất cả các chính sách JWS đều đặt cùng một biến trong trường hợp có lỗi. | jws.JWS-Policy.failed = true |
Ví dụ về phản hồi khi gặp lỗi
Để xử lý lỗi, phương pháp hay nhất là bẫy phần errorcode của lỗi
của bạn. Đừng dựa vào văn bản trong faultstring vì văn bản này có thể thay đổi.
Ví dụ về quy tắc lỗi
<FaultRules>
<FaultRule name="JWS Policy Errors">
<Step>
<Name>JavaScript-1</Name>
<Condition>(fault.name Matches "TokenExpired")</Condition>
</Step>
<Condition>JWS.failed=true</Condition>
</FaultRule>
</FaultRules>