Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến
Tài liệu về Apigee X. thông tin
Nội dung
Xác minh chữ ký trên JWS nhận được từ ứng dụng hoặc hệ thống khác. Chính sách này cũng trích xuất tiêu đề thành các biến ngữ cảnh để các chính sách hoặc điều kiện tiếp theo có thể kiểm tra các giá trị đó để đưa ra quyết định uỷ quyền hoặc định tuyến. Hãy xem bài viết Tổng quan về chính sách JWS và JWT để biết phần giới thiệu chi tiết.
Nếu JWS đã được xác minh và hợp lệ, thì yêu cầu sẽ được được phép tiếp tục. Nếu hệ thống không xác minh được chữ ký JWS hoặc nếu JWS không hợp lệ do một loại lỗi nào đó, tất cả quá trình xử lý sẽ ngừng và một lỗi được trả về trong phản hồi.
Để tìm hiểu về các thành phần của JWS cũng như cách các thành phần đó được mã hoá và ký, hãy tham khảo RFC7515.
Video
Xem một video ngắn để tìm hiểu cách xác minh chữ ký trên JWS. Trong khi video này đang cụ thể cho việc xác minh JWT, nhiều khái niệm giống nhau đối với JWS.
Mẫu
- Xác minh một JWS đính kèm được ký với HS256 thuật toán
- Xác minh một JWS độc lập và ký bằng RS256 thuật toán
Xác minh một JWS đính kèm được ký bằng HS256 thuật toán
Chính sách mẫu này xác minh một JWS đính kèm đã được ký bằng thuật toán mã hoá HS256, HMAC
bằng cách sử dụng giá trị tổng kiểm SHA-256. JWS được chuyển vào yêu cầu proxy bằng cách sử dụng một tham số biểu mẫu có tên
JWS. Khoá này nằm trong một biến có tên là private.secretkey.
Một JWS đính kèm chứa tiêu đề, tải trọng và chữ ký được mã hoá:
header.payload.signature
Cấu hình chính sách bao gồm thông tin mà Edge cần để giải mã và đánh giá JWS,
chẳng hạn như nơi tìm JWS (trong một biến luồng được chỉ định trong phần tử <Source>),
thuật toán ký bắt buộc và nơi tìm khoá bí mật (được lưu trữ trong biến luồng Edge, có thể
đã được truy xuất từ Edge KVM).
<VerifyJWS name="JWS-Verify-HS256">
<DisplayName>JWS Verify HS256</DisplayName>
<Algorithm>HS256</Algorithm>
<Source>request.formparam.JWS</Source>
<IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
<SecretKey>
<Value ref="private.secretkey"/>
</SecretKey>
</VerifyJWS>Chính sách ghi kết quả vào các biến ngữ cảnh để các chính sách hoặc điều kiện tiếp theo trong proxy API có thể kiểm tra các giá trị đó. Hãy xem bài viết Các biến Luồng để biết danh sách các biến do chính sách này đặt ra.
Xác minh một JWS độc lập và ký bằng RS256 thuật toán
Chính sách mẫu này xác minh một JWS tách rời và được ký bằng thuật toán RS256. Để xác minh,
bạn cần cung cấp khoá công khai. JWS được chuyển vào yêu cầu proxy bằng cách sử dụng một tham số biểu mẫu
có tên là JWS. Khoá công khai này nằm trong một biến có tên là public.publickey.
Một JWS đã tách rời bỏ qua trọng tải khỏi JWS:
header..signature
Bạn có tuỳ ý truyền tải trọng đến chính sách VerifyJWS bằng cách chỉ định tên biến chứa tải trọng đó
Phần tử <DetachedContent>. Nội dung được chỉ định trong <DetachedContent>
phải ở dạng chưa được mã hoá ban đầu như khi chữ ký JWS được tạo.
<VerifyJWS name="JWS-Verify-RS256"> <DisplayName>JWS Verify RS256</DisplayName> <Algorithm>RS256</Algorithm> <Source>request.formparam.JWS</Source> <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables> <PublicKey> <Value ref="public.publickey"/> </PublicKey> <DetachedContent>private.payload</DetachedContent> </VerifyJWS>
Chính sách ghi kết quả vào các biến ngữ cảnh để các chính sách hoặc điều kiện tiếp theo trong proxy API có thể kiểm tra các giá trị đó. Hãy xem bài viết Các biến Luồng để biết danh sách các biến do chính sách này đặt ra.
Thiết lập các thành phần chính
Các phần tử mà bạn dùng để chỉ định khoá dùng để xác minh JWS sẽ phụ thuộc vào thuật toán đã chọn, như minh hoạ trong bảng sau:
| Thuật toán | phần tử chính | |
|---|---|---|
| HS* |
<SecretKey> <Value ref="private.secretkey"/> </SecretKey> |
|
| RS*, Tây Ban Nha*, PS* | <PublicKey> <Value ref="rsa_public_key"/> </PublicKey> hoặc: <PublicKey> <JWKS ref="jwks_val_ref_or_url"/> </PublicKey> |
|
| *Để biết thêm về các yêu cầu chính, hãy xem Giới thiệu về thuật toán mã hoá chữ ký. | ||
Tham chiếu phần tử
Tài liệu tham khảo chính sách này mô tả các thành phần và thuộc tính của chính sách Xác minh JWS.
Lưu ý: Cấu hình sẽ khác nhau đôi chút tuỳ thuộc vào phương thức mã hoá mà bạn sử dụng. Hãy tham khảo phần Ứng dụng mẫu để xem các ví dụ minh hoạ cho các trường hợp sử dụng cụ thể.
Các thuộc tính áp dụng cho phần tử cấp cao nhất
<VerifyJWS name="JWS" continueOnError="false" enabled="true" async="false">
Các thuộc tính sau đây áp dụng chung cho tất cả phần tử mẹ của chính sách.
| Thuộc tính | Nội dung mô tả | Mặc định | Sự hiện diện |
|---|---|---|---|
| tên |
Tên nội bộ của chính sách. Bạn chỉ có thể sử dụng các ký tự trong tên này:
A-Z0-9._\-$ %. Tuy nhiên, giao diện người dùng quản lý Edge sẽ thực thi thêm
các hạn chế cụ thể, chẳng hạn như tự động xoá các ký tự không phải là chữ và số.
Bạn có thể dùng phần tử |
Không áp dụng | Bắt buộc |
| continueOnError |
Đặt thành false để trả về lỗi khi chính sách không thành công. Điều này là dự kiến
đối với hầu hết các chính sách.
Đặt thành |
false | Không bắt buộc |
| đang bật |
Hãy đặt thành true để thực thi chính sách này.
Đặt thành |
đúng | Không bắt buộc |
| không đồng bộ | Thuộc tính này không được dùng nữa. | false | Không được dùng nữa |
<DisplayName>
<DisplayName>Policy Display Name</DisplayName>
Sử dụng cùng với thuộc tính name để gắn nhãn chính sách trong trình chỉnh sửa proxy giao diện người dùng quản lý bằng một tên ngôn ngữ tự nhiên khác.
| Mặc định | Nếu bạn bỏ qua phần tử này, giá trị của thuộc tính tên của chính sách sẽ được sử dụng. |
| Sự hiện diện | Không bắt buộc |
| Loại | Chuỗi |
<Algorithm>
<Algorithm>HS256</Algorithm>
Chỉ định thuật toán mã hoá để ký mã thông báo. Các thuật toán RS*/PS*/ES* sử dụng một cặp khoá công khai/bí mật, còn thuật toán HS* sử dụng một bí mật dùng chung. Xem thêm Giới thiệu về các thuật toán mã hoá chữ ký.
Bạn có thể chỉ định nhiều giá trị được phân tách bằng dấu phẩy. Ví dụ: "HS256, HS512" hoặc "RS256, PS256". Tuy nhiên, bạn không thể kết hợp thuật toán HS* với bất kỳ thuật toán nào khác hoặc thuật toán ES* với bất kỳ thuật toán nào khác vì chúng yêu cầu một loại khoá cụ thể. Bạn có thể kết hợp các thuật toán RS* và PS*.
| Mặc định | Không áp dụng |
| Sự hiện diện | Bắt buộc |
| Loại | Chuỗi giá trị được phân tách bằng dấu phẩy |
| Giá trị hợp lệ | HS256, HS384, HS512, RS256, RS384, RS512, ES256, ES384, ES512, PS256, PS384, PS512 |
<AdditionalHeaders/Claim>
<AdditionalHeaders> <Claim name='claim1'>explicit-value-of-claim-here</Claim> <Claim name='claim2' ref='variable-name-here'/> <Claim name='claim3' ref='variable-name-here' type='boolean'/> <Claim name='claim4' ref='variable-name' type='string' array='true'/> </AdditionalHeaders>
Kiểm tra để đảm bảo rằng tiêu đề JWS chứa(các) cặp giá trị/tên xác nhận bổ sung được chỉ định và các giá trị xác nhận quyền sở hữu đã được xác nhận trùng khớp.
Yêu cầu bổ sung sử dụng tên không phải là một trong các tên yêu cầu bổ sung tiêu chuẩn đã đăng ký của JWS. Giá trị của một thông báo xác nhận quyền sở hữu bổ sung có thể là một chuỗi, một số, một boolean, một ánh xạ hoặc một mảng. Một bản đồ chỉ là một tập hợp các cặp tên/giá trị. Bạn có thể chỉ định giá trị cho thông báo xác nhận quyền sở hữu thuộc bất kỳ loại nào trong số các loại này rõ ràng trong cấu hình chính sách hoặc gián tiếp thông qua việc tham chiếu đến biến luồng.
| Mặc định | Không áp dụng |
| Sự hiện diện | Không bắt buộc |
| Loại |
Chuỗi (mặc định), số, boolean hoặc ánh xạ. Kiểu mặc định là Chuỗi nếu không có kiểu nào được chỉ định. |
| Mảng | Đặt thành true để cho biết liệu giá trị có phải là một mảng loại hay không. Mặc định: sai |
| Giá trị hợp lệ | Bất kỳ giá trị nào mà bạn muốn sử dụng để xác nhận quyền sở hữu bổ sung. |
Phần tử <Claim> có các thuộc tính sau:
- name – (Bắt buộc) Tên của thông báo xác nhận quyền sở hữu.
- ref – (Không bắt buộc) Tên của một biến luồng. Nếu có, chính sách sẽ sử dụng giá trị của đoạn mã này làm thông báo xác nhận quyền sở hữu. Nếu bạn đã chỉ định cả thuộc tính ref và giá trị xác nhận rõ ràng thì giá trị rõ ràng là mặc định và được dùng nếu biến luồng được tham chiếu không được giải quyết.
- type – (Không bắt buộc) Một trong các giá trị: string (mặc định), number, boolean hoặc map
- array – (Tùy chọn) Đặt thành true để cho biết giá trị có phải là một mảng loại hay không. Mặc định: false.
<DetachedContent>
<DetachedContent>variable-name-here</DetachedContent>
Một JWS được tạo có tải trọng nội dung có dạng như sau:
header.payload.signature
Nếu bạn sử dụng chính sáchGenerateJWS để tạo tải trọng tách rời, thì JWS đã tạo sẽ bỏ qua phần tải trọng này và trong biểu mẫu:
header..signature
Đối với tải trọng tách rời, bạn có thể tuỳ ý truyền tải trọng đó đến chính sách VerifyJWS bằng cách sử dụng
Phần tử <DetachedContent>. Tải trọng nội dung được chỉ định phải nằm trong
ở dạng không được mã hoá ban đầu đó là thời điểm chữ ký JWS được tạo.
Chính sách này sẽ báo lỗi khi:
<DetachedContent>được chỉ định khi JWS không chứa nội dung tách rời tải trọng (mã lỗi làsteps.jws.ContentIsNotDetached).<DetachedContent>bị bỏ qua và JWS có tải trọng nội dung tách rời (mã lỗi làsteps.jws.InvalidSignature).
| Mặc định | N/A |
| Sự hiện diện | Không bắt buộc |
| Loại | Tham chiếu biến |
<IgnoreCriticalHeaders>
<IgnoreCriticalHeaders>true|false</IgnoreCriticalHeaders>
Đặt thành false nếu bạn muốn chính sách hiển thị lỗi khi có bất kỳ tiêu đề nào được liệt kê trong
tiêu đề crit của JWS không có trong phần tử <KnownHeaders>.
Bạn có thể đặt thành true để khiến chính sách VerifyJWS bỏ qua tiêu đề crit.
Một lý do để đặt phần tử này thành true là nếu bạn đang trong môi trường thử nghiệm và bạn không muốn chính sách không thành công do thiếu tiêu đề.
| Mặc định | false |
| Sự hiện diện | Không bắt buộc |
| Loại | Boolean |
| Giá trị hợp lệ | true hoặc false |
<IgnoreUnresolvedVariables>
<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>
Đặt thành false nếu bạn muốn chính sách gửi thông báo lỗi khi bất kỳ biến nào được tham chiếu được chỉ định không thể giải quyết được trong chính sách. Đặt thành true để coi mọi biến không thể giải quyết là một chuỗi trống (rỗng).
| Mặc định | false |
| Sự hiện diện | Không bắt buộc |
| Loại | Boolean |
| Giá trị hợp lệ | true hoặc false |
<KnownHeaders>
<KnownHeaders>a,b,c</KnownHeaders> or: <KnownHeaders ref=’variable_containing_headers’/>
Chính sáchGenerateJWS sử dụng phần tử <CriticalHeaders> để điền giá trị
crit trong một mã thông báo. Ví dụ:
{
“typ: “...”,
“alg” : “...”,
“crit” : [ “a”, “b”, “c” ],
}Chính sách VerifyJWS kiểm tra tiêu đề crit trong JWS (nếu có) và đối với từng mục được liệt kê
sẽ kiểm tra để đảm bảo phần tử <KnownHeaders> cũng liệt kê tiêu đề đó. Chiến lược phát hành đĩa đơn
Phần tử <KnownHeaders> có thể chứa tập mẹ của các mục được liệt kê trong crit.
Chỉ cần tất cả các tiêu đề được liệt kê trong crit phải được liệt kê trong
Phần tử <KnownHeaders>. Bất kỳ tiêu đề nào mà chính sách tìm thấy trong crit
không được liệt kê trong <KnownHeaders> sẽ khiến chính sách VerifyJWS không thành công.
Bạn có thể định cấu hình chính sách VerifyJWS để bỏ qua tiêu đề crit (không bắt buộc) bằng cách
đặt phần tử <IgnoreCriticalHeaders> thành true.
| Mặc định | Không áp dụng |
| Sự hiện diện | Không bắt buộc |
| Loại | Mảng chuỗi được phân tách bằng dấu phẩy |
| Giá trị hợp lệ | Một mảng hoặc tên của một biến chứa mảng đó. |
<PublicKey/JWKS>
<!-- Specify the JWKS. --> <PublicKey> <JWKS>jwks-value-here</JWKS> </PublicKey> or: <!-- Specify a variable containing the JWKS. --> <PublicKey> <JWKS ref="public.jwks"/> </PublicKey> or: <!-- Specify a public URL that returns the JWKS. The URL is static, meaning you cannot set it using a variable. --> <PublicKey> <JWKS uri="jwks-url"/> </PublicKey>
Chỉ định một giá trị ở định dạng JWKS (RFC 7517) có chứa một tập hợp các khoá công khai. Chỉ sử dụng khi thuật toán là một trong các chuẩn RS256/RS384/RS512, PS256/PS384/PS512 hoặc ES256/ES384/ES512.
Nếu JWS đến có một mã khoá có trong tập hợp JWKS thì chính sách này sẽ sử dụng đúng khoá công khai để xác minh chữ ký JWS. Để biết thông tin về tính năng này, hãy xem Sử dụng Bộ khoá web JSON (JWKS) để xác minh JWS.
Nếu bạn tìm nạp giá trị từ một URL công khai, thì Edge sẽ lưu JWKS vào bộ nhớ đệm trong khoảng thời gian 300 giây. Khi bộ nhớ đệm hết hạn, Edge sẽ tìm nạp lại JWKS.
| Mặc định | Không áp dụng |
| Sự hiện diện | Để xác minh JWS bằng thuật toán RSA, bạn phải sử dụng hàm JWKS hoặc Giá trị . |
| Loại | Chuỗi |
| Giá trị hợp lệ | Biến luồng, giá trị chuỗi hoặc URL. |
<PublicKey/Value>
<PublicKey> <Value ref="public.publickey"/> </PublicKey> -or- <PublicKey> <Value> -----BEGIN PUBLIC KEY----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAw2kPrRzcufvUNHvTH/WW Q0UrCw5c0+Y707KX3PpXkZGbtTT4nvU1jC0d1lHV8MfUyRXmpmnNxJHAC2F73IyN C5TBtXMORc+us7A2cTtC4gZV256bT4h3sIEMsDl0Joz9K9MPzVPFxa1i0RgNt06n Xn/Bs2UbbLlKP5Q1HPxewUDEh0gVMqz9wdIGwH1pPxKvd3NltYGfPsUQovlof3l2 ALvO7i5Yrm96kknfFEWf1EjmCCKvz2vjVbBb6mp1ZpYfc9MOTZVpQcXSbzb/BWUo ZmkDb/DRW5onclGzxQITBFP3S6JXd4LNESJcTp705ec1cQ9Wp2Kl+nKrKyv1E5Xx DQIDAQAB -----END PUBLIC KEY----- </Value> </PublicKey>
Chỉ định khoá công khai dùng để xác minh chữ ký trên JWS. Sử dụng thuộc tính tham chiếu để truyền khoá vào một biến luồng hoặc chỉ định trực tiếp khoá được mã hoá PEM. Chỉ sử dụng khi thuật toán là một trong các thuật toán RS256/RS384/RS512, PS256/PS384/PS512 hoặc ES256/ES384/ES512.
| Mặc định | Không áp dụng |
| Sự hiện diện | Để xác minh JWS ký bằng thuật toán RSA, bạn phải sử dụng JWKS hoặc Phần tử giá trị. |
| Loại | Chuỗi |
| Giá trị hợp lệ | Biến luồng hoặc chuỗi. |
<SecretKey/Value>
<SecretKey> <Value ref="private.your-variable-name"/> </SecretKey>
Cung cấp khoá bí mật dùng để xác minh hoặc ký mã thông báo bằng thuật toán HMAC. Chỉ sử dụng khi thuật toán là HS256, HS384, HS512. Sử dụng thuộc tính ref để truyền khoá trong một biến luồng.
| Mặc định | Không áp dụng |
| Sự hiện diện | Bắt buộc đối với các thuật toán HMAC. |
| Loại | Chuỗi |
| Giá trị hợp lệ |
Biến luồng tham chiếu đến một chuỗi.
Lưu ý: Nếu là một biến luồng, thì biến đó phải có tiền tố "private". Ví dụ:
|
<Source>
<Source>JWS-variable</Source>
Nếu có, hãy chỉ định biến luồng mà chính sách dự kiến sẽ tìm JWS xác minh.
| Mặc định | request.header.authorization (Xem ghi chú ở trên để biết thông tin quan trọng
về mặc định). |
| Sự hiện diện | Không bắt buộc |
| Loại | Chuỗi |
| Giá trị hợp lệ | Tên biến luồng cạnh. |
Flow variables
Upon success, the Verify JWS and Decode JWS policies set context variables according to this pattern:
jws.{policy_name}.{variable_name}
For example, if the policy name is verify-jws, then the policy will store
the algorithm specified in the JWS to this context variable:
jws.verify-jws.header.algorithm
| Variable name | Description |
|---|---|
decoded.header.name |
The JSON-parsable value of a header in the payload. One variable is set for
every header in the payload. While you can also use the header.name flow variables,
this is the recommended variable to use to access a header. |
header.algorithm |
The signing algorithm used on the JWS. For example, RS256, HS384, and so on. See (Algorithm) Header Parameter for more. |
header.kid |
The Key ID, if added when the JWS was generated. See also "Using a JSON Web Key Set (JWKS)" at JWT and JWS policies overview to verify a JWS. See (Key ID) Header Parameter for more. |
header.type |
The header type value. See (Type) Header Parameter for more. |
header.name |
The value of the named header (standard or additional). One of these will be set for every additional header in the header portion of the JWS. |
header-json |
The header in JSON format. |
payload |
The JWS payload if the JWS has an attached payload. For a detached payload, this variable is empty. |
valid |
In the case of VerifyJWS, this variable will be true when the signature is verified, and
the current time is before the token expiry, and after the token notBefore value, if they
are present. Otherwise false.
In the case of DecodeJWS, this variable is not set. |
Tham chiếu lỗi
This section describes the fault codes and error messages that are returned and fault variables that are set by Edge when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.
Runtime errors
These errors can occur when the policy executes.
| Fault code | HTTP status | Occurs when |
|---|---|---|
steps.jws.AlgorithmInTokenNotPresentInConfiguration |
401 | Occurs when the verification policy has multiple algorithms |
steps.jws.AlgorithmMismatch |
401 | The algorithm specified in the header by the Generate policy did not match the one expected in the Verify policy. The algorithms specified must match. |
steps.jws.ContentIsNotDetached |
401 | <DetachedContent> is specified when the JWS does not contain a
detached content payload. |
steps.jws.FailedToDecode |
401 | The policy was unable to decode the JWS. The JWS is possibly corrupted. |
steps.jws.InsufficientKeyLength |
401 | For a key less than 32 bytes for the HS256 algorithm |
steps.jws.InvalidClaim |
401 | For a missing claim or claim mismatch, or a missing header or header mismatch. |
steps.jws.InvalidCurve |
401 | The curve specified by the key is not valid for the Elliptic Curve algorithm. |
steps.jws.InvalidJsonFormat |
401 | Invalid JSON found in the JWS header. |
steps.jws.InvalidJws |
401 | This error occurs when the JWS signature verification fails. |
steps.jws.InvalidPayload |
401 | The JWS payload is invalid. |
steps.jws.InvalidSignature |
401 | <DetachedContent> is omitted and the JWS has a detached content payload. |
steps.jws.KeyIdMissing |
401 | The Verify policy uses a JWKS as a source for public keys, but the signed JWS does not
include a kid property in the header. |
steps.jws.KeyParsingFailed |
401 | The public key could not be parsed from the given key information. |
steps.jws.MissingPayload |
401 | The JWS payload is missing. |
steps.jws.NoAlgorithmFoundInHeader |
401 | Occurs when the JWS omits the algorithm header. |
steps.jws.NoMatchingPublicKey |
401 | The Verify policy uses a JWKS as a source for public keys, but the kid
in the signed JWS is not listed in the JWKS. |
steps.jws.UnhandledCriticalHeader |
401 | A header found by the Verify JWS policy in the crit header is not
listed in KnownHeaders. |
steps.jws.UnknownException |
401 | An unknown exception occurred. |
steps.jws.WrongKeyType |
401 | Wrong type of key specified. For example, if you specify an RSA key for an Elliptic Curve algorithm, or a curve key for an RSA algorithm. |
Deployment errors
These errors can occur when you deploy a proxy containing this policy.
| Error name | Occurs when |
|---|---|
InvalidAlgorithm |
The only valid values are: RS256, RS384, RS512, PS256, PS384, PS512, ES256, ES384, ES512, HS256, HS384, HS512. |
|
|
Other possible deployment errors. |
Fault variables
These variables are set when a runtime error occurs. For more information, see What you need to know about policy errors.
| Variables | Where | Example |
|---|---|---|
fault.name="fault_name" |
fault_name is the name of the fault, as listed in the Runtime errors table above. The fault name is the last part of the fault code. | fault.name Matches "TokenExpired" |
JWS.failed |
All JWS policies set the same variable in the case of a failure. | jws.JWS-Policy.failed = true |
Example error response
For error handling, the best practice is to trap the errorcode part of the error
response. Do not rely on the text in the faultstring, because it could change.
Example fault rule
<FaultRules>
<FaultRule name="JWS Policy Errors">
<Step>
<Name>JavaScript-1</Name>
<Condition>(fault.name Matches "TokenExpired")</Condition>
</Step>
<Condition>JWS.failed=true</Condition>
</FaultRule>
</FaultRules>