بررسی سیاست JWS

شما در حال مشاهده اسناد Apigee Edge هستید.
به مستندات Apigee X بروید . اطلاعات

چی

امضای JWS دریافت شده از مشتریان یا سایر سیستم ها را تأیید می کند. این خط‌مشی همچنین سرصفحه‌ها را در متغیرهای زمینه استخراج می‌کند تا سیاست‌ها یا شرایط بعدی بتوانند آن مقادیر را برای تصمیم‌گیری مجوز یا مسیریابی بررسی کنند. برای معرفی دقیق ، مرور کلی سیاست های JWS و JWT را ببینید.

اگر JWS تأیید و معتبر باشد، درخواست اجازه ادامه دارد. اگر امضای JWS نمی تواند تأیید شود یا اگر JWS به دلیل نوعی خطا نامعتبر باشد، تمام پردازش متوقف می شود و یک خطا در پاسخ باز می گردد.

برای آشنایی با قطعات یک JWS و نحوه رمزگذاری و امضای آنها، به RFC7515 مراجعه کنید.

ویدیو

برای یادگیری نحوه تأیید امضا در JWS، یک ویدیوی کوتاه تماشا کنید. در حالی که این ویدیو مخصوص تأیید یک JWT است، بسیاری از مفاهیم برای JWS یکسان است.

نمونه ها

یک JWS پیوست امضا شده با الگوریتم HS256 را تأیید کنید

این خط مشی مثال یک JWS پیوست شده را تأیید می‌کند که با الگوریتم رمزگذاری HS256، HMAC با استفاده از یک جمع‌بندی بررسی SHA-256 امضا شده است. JWS در درخواست پراکسی با استفاده از پارامتر فرم به نام JWS ارسال می شود. کلید در متغیری به نام private.secretkey قرار دارد.

یک JWS پیوست شامل سرصفحه، بار و امضای رمزگذاری شده است:

header.payload.signature

پیکربندی خط مشی شامل اطلاعاتی است که Edge برای رمزگشایی و ارزیابی JWS نیاز دارد، مانند مکان یافتن JWS (در یک متغیر جریان مشخص شده در عنصر <Source> )، الگوریتم امضای مورد نیاز، و مکان یافتن کلید مخفی (ذخیره شده) در یک متغیر جریان Edge، که می‌توانست برای مثال از Edge KVM بازیابی شود).

<VerifyJWS name="JWS-Verify-HS256">
    <DisplayName>JWS Verify HS256</DisplayName>
    <Algorithm>HS256</Algorithm>
    <Source>request.formparam.JWS</Source>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <SecretKey>
        <Value ref="private.secretkey"/>
    </SecretKey>
</VerifyJWS>

خط مشی خروجی خود را روی متغیرهای زمینه می نویسد تا سیاست ها یا شرایط بعدی در پراکسی API بتوانند آن مقادیر را بررسی کنند. برای لیستی از متغیرهای تنظیم شده توسط این خط مشی، متغیرهای جریان را ببینید.

یک JWS جدا شده امضا شده با الگوریتم RS256 را تأیید کنید

این خط مشی مثال یک JWS جدا شده را تأیید می کند که با الگوریتم RS256 امضا شده است. برای تأیید، باید کلید عمومی را ارائه دهید. JWS در درخواست پراکسی با استفاده از پارامتر فرم به نام JWS ارسال می شود. کلید عمومی در متغیری به نام public.publickey قرار دارد.

یک JWS جدا شده، بار را از JWS حذف می کند:

header..signature

این شما هستید که با تعیین نام متغیر حاوی بار به عنصر <DetachedContent> ، بار را به خط مشی VerifyJWS منتقل کنید. محتوای مشخص شده در <DetachedContent> باید به شکل رمزگذاری نشده اصلی باشد که در زمان ایجاد امضای JWS بود.

<VerifyJWS name="JWS-Verify-RS256">
    <DisplayName>JWS Verify RS256</DisplayName>
    <Algorithm>RS256</Algorithm>
    <Source>request.formparam.JWS</Source>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <PublicKey>
        <Value ref="public.publickey"/>
    </PublicKey>
    <DetachedContent>private.payload</DetachedContent>
</VerifyJWS>

خط مشی خروجی خود را روی متغیرهای زمینه می نویسد تا سیاست ها یا شرایط بعدی در پراکسی API بتوانند آن مقادیر را بررسی کنند. برای لیستی از متغیرهای تنظیم شده توسط این خط مشی، متغیرهای جریان را ببینید.

تنظیم عناصر کلیدی

عناصری که برای تعیین کلید مورد استفاده برای تأیید JWS استفاده می کنید به الگوریتم انتخابی بستگی دارد، همانطور که در جدول زیر نشان داده شده است:

الگوریتم عناصر کلیدی
HS* 
<SecretKey>
  <Value ref="private.secretkey"/>
</SecretKey>
RS*، ES*، PS*
<PublicKey>
  <Value ref="rsa_public_key"/>
</PublicKey>

یا:

<PublicKey>
  <JWKS ref="jwks_val_ref_or_url"/>
</PublicKey>
* برای اطلاعات بیشتر در مورد الزامات کلیدی، درباره الگوریتم‌های رمزگذاری امضا را ببینید.

مرجع عنصر

مرجع خط مشی عناصر و ویژگی های خط مشی Verify JWS را توصیف می کند.

توجه: پیکربندی بسته به الگوریتم رمزگذاری مورد استفاده شما تا حدودی متفاوت خواهد بود. برای نمونه هایی که پیکربندی ها را برای موارد استفاده خاص نشان می دهد، به نمونه ها مراجعه کنید.

ویژگی هایی که برای عنصر سطح بالا اعمال می شود

<VerifyJWS name="JWS" continueOnError="false" enabled="true" async="false">

ویژگی های زیر برای همه عناصر اصلی خط مشی مشترک است.

صفت توضیحات پیش فرض حضور
نام نام داخلی سیاست. نویسه هایی که می توانید در نام استفاده کنید محدود به: A-Z0-9._\-$ % . با این حال، رابط کاربری مدیریت Edge محدودیت‌های بیشتری را اعمال می‌کند، مانند حذف خودکار کاراکترهایی که حروف عددی نیستند.

به صورت اختیاری، از عنصر <displayname></displayname> برای برچسب گذاری خط مشی در ویرایشگر پروکسی UI مدیریت با نامی به زبان طبیعی متفاوت استفاده کنید.

 N/A مورد نیاز
continueOnError برای بازگرداندن خطا در صورت شکست خط مشی، روی false تنظیم کنید. این رفتار مورد انتظار برای اکثر سیاست ها است.

روی true تنظیم کنید تا اجرای جریان حتی پس از شکست خط مشی ادامه یابد.

 نادرست اختیاری
فعال شد برای اجرای خط مشی روی true تنظیم کنید.

برای "خاموش کردن" خط مشی، روی false تنظیم کنید. این سیاست حتی اگر به یک جریان وابسته باشد اجرا نخواهد شد.

 درست است اختیاری
ناهمگام این ویژگی منسوخ شده است. نادرست منسوخ شده است

<DisplayName>

<DisplayName>Policy Display Name</DisplayName>

علاوه بر ویژگی نام، برای برچسب‌گذاری خط‌مشی در ویرایشگر پروکسی رابط کاربری مدیریت با نامی متفاوت و به زبان طبیعی، از آن استفاده کنید.

پیش فرض اگر این عنصر را حذف کنید، از مقدار ویژگی نام خط مشی استفاده می شود.
حضور اختیاری
تایپ کنید رشته

<الگوریتم>

<Algorithm>HS256</Algorithm>

الگوریتم رمزگذاری را برای امضای توکن مشخص می کند. الگوریتم‌های RS*/PS*/ES* از یک جفت کلید عمومی/مخفی استفاده می‌کنند، در حالی که الگوریتم‌های HS* از یک راز مشترک استفاده می‌کنند. درباره الگوریتم‌های رمزگذاری امضا نیز ببینید.

می توانید چندین مقدار را مشخص کنید که با کاما از هم جدا شده اند. به عنوان مثال "HS256, HS512" یا "RS256, PS256". با این حال، نمی‌توانید الگوریتم‌های HS* را با سایر الگوریتم‌ها یا الگوریتم‌های ES* را با سایر الگوریتم‌ها ترکیب کنید، زیرا به نوع خاصی از کلید نیاز دارند. می توانید الگوریتم های RS* و PS* را ترکیب کنید.

پیش فرض N/A
حضور مورد نیاز
تایپ کنید رشته ای از مقادیر جدا شده با کاما
مقادیر معتبر HS256, HS384, HS512, RS256, RS384, RS512, ES256, ES384, ES512, PS256, PS384, PS512

<AdditionalHeaders/Claim>

<AdditionalHeaders>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
    <Claim name='claim4' ref='variable-name' type='string' array='true'/>
 </AdditionalHeaders>

تأیید می کند که هدر JWS شامل جفت(های) نام/مقدار ادعای اضافی مشخص شده است و مقادیر ادعای ادعا شده مطابقت دارند.

یک ادعای اضافی از نامی استفاده می‌کند که یکی از نام‌های ادعای استاندارد و ثبت‌شده JWS نیست. مقدار یک ادعای اضافی می تواند یک رشته، یک عدد، یک بولی، یک نقشه یا یک آرایه باشد. نقشه به سادگی مجموعه ای از جفت نام/مقدار است. مقدار ادعای هر یک از این انواع را می توان به صراحت در پیکربندی خط مشی یا به طور غیرمستقیم از طریق ارجاع به متغیر جریان مشخص کرد.

پیش فرض N/A
حضور اختیاری
تایپ کنید

رشته (پیش‌فرض)، عدد، بولی یا نقشه.

در صورتی که هیچ نوع مشخصی نداشته باشد، نوع پیش‌فرض روی رشته است.

آرایه برای نشان دادن اینکه آیا مقدار آرایه ای از انواع است، روی true تنظیم کنید. پیش فرض: نادرست
مقادیر معتبر هر مقداری که می خواهید برای ادعای اضافی استفاده کنید.

عنصر <Claim> این ویژگی ها را می گیرد:

  • نام - (لازم) نام ادعا.
  • ref - (اختیاری) نام یک متغیر جریان. در صورت وجود، خط مشی از مقدار این متغیر به عنوان ادعا استفاده می کند. اگر هم یک ویژگی ref و هم مقدار ادعای صریح مشخص شده باشد، مقدار صریح پیش‌فرض است و اگر متغیر جریان ارجاع‌شده حل نشده باشد استفاده می‌شود.
  • نوع - (اختیاری) یکی از: رشته (پیش‌فرض)، عدد، بولی یا نقشه
  • آرایه - (اختیاری) برای نشان دادن اینکه آیا مقدار آرایه ای از انواع است، روی true تنظیم کنید. پیش فرض: نادرست.

<محتوای جدا شده>

<DetachedContent>variable-name-here</DetachedContent>

یک JWS تولید شده با بار محتوا به شکل زیر است:

header.payload.signature

اگر از خط‌مشی GenerateJWS برای ایجاد محموله جدا استفاده می‌کنید، JWS تولید شده، payload را حذف می‌کند و به شکل زیر است:

header..signature

برای یک محموله جدا شده، این شما هستید که با استفاده از عنصر <DetachedContent> ، بار را به خط مشی VerifyJWS منتقل کنید. محتوی مشخص شده باید به شکل رمزگذاری نشده اصلی باشد که در زمان ایجاد امضای JWS بود.

خط مشی زمانی خطا می دهد که:

  • <DetachedContent> زمانی مشخص می شود که JWS حاوی محتویات جدا شده نباشد (کد خطا steps.jws.ContentIsNotDetached است).
  • <DetachedContent> حذف شده است و JWS دارای یک بار محتوای جدا شده است (کد خطا steps.jws.InvalidSignature است).
پیش فرض N/A
حضور اختیاری
تایپ کنید مرجع متغیر

<IgnoreCriticalHeaders>

<IgnoreCriticalHeaders>true|false</IgnoreCriticalHeaders>

اگر می‌خواهید وقتی هر هدر فهرست شده در هدر crit JWS در عنصر <KnownHeaders> فهرست نشده است، خط‌مشی خطا ایجاد کند، آن را روی false تنظیم کنید. روی true تنظیم کنید تا باعث شود که خط مشی VerifyJWS هدر crit را نادیده بگیرد.

یکی از دلایل تنظیم این عنصر بر روی true این است که اگر در یک محیط آزمایشی هستید و نمی‌خواهید این خط‌مشی به دلیل وجود یک هدر از بین برود.

پیش فرض نادرست
حضور اختیاری
تایپ کنید بولی
مقادیر معتبر درست یا نادرست

<IgnoreUnresolvedVariables>

<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>

اگر می‌خواهید وقتی هر متغیر ارجاعی مشخص‌شده در خط‌مشی غیرقابل حل است، خط‌مشی خطایی ایجاد کند، روی false تنظیم کنید. مقدار true را تنظیم کنید تا هر متغیر غیرقابل حلی را به عنوان یک رشته خالی (تهی) در نظر بگیرید.

پیش فرض نادرست
حضور اختیاری
تایپ کنید بولی
مقادیر معتبر درست یا نادرست

<KnownHeaders>

<KnownHeaders>a,b,c</KnownHeaders>

or:

<KnownHeaders ref=’variable_containing_headers’/>

خط مشی GenerateJWS از عنصر <CriticalHeaders> برای پر کردن هدر crit در یک توکن استفاده می کند. به عنوان مثال:

{
  “typ: “...”,
  “alg” : “...”,
  “crit” : [ “a”, “b”, “c” ],
}

خط مشی VerifyJWS سرصفحه کریت را در JWS بررسی می کند، اگر وجود داشته باشد، و برای هر آیتم فهرست شده بررسی می کند که عنصر <KnownHeaders> آن هدر را نیز فهرست کند. عنصر <KnownHeaders> می‌تواند شامل یک ابر مجموعه از موارد فهرست شده در crit باشد. فقط لازم است که تمام هدرهای فهرست شده در crit در عنصر <KnownHeaders> فهرست شوند. هر هدری که خط‌مشی در کریت پیدا می‌کند و در <KnownHeaders> نیز فهرست نشده است باعث می‌شود خط‌مشی VerifyJWS با شکست مواجه شود.

با تنظیم عنصر <IgnoreCriticalHeaders> روی true می‌توانید به‌طور اختیاری خط‌مشی VerifyJWS را برای نادیده گرفتن هدر کریت پیکربندی کنید.

پیش فرض N/A
حضور اختیاری
تایپ کنید آرایه رشته ها با کاما جدا شده است
مقادیر معتبر یک آرایه یا نام یک متغیر حاوی آرایه.

<PublicKey/JWKS>

<!-- Specify the JWKS. -->
<PublicKey>
   <JWKS>jwks-value-here</JWKS>
</PublicKey>

or:

<!-- Specify a variable containing the JWKS. -->
<PublicKey>
   <JWKS ref="public.jwks"/>
</PublicKey>

or:

<!-- Specify a public URL that returns the JWKS.
The URL is static, meaning you cannot set it using a variable. -->
<PublicKey>
   <JWKS uri="jwks-url"/>
</PublicKey>

مقداری را در قالب JWKS ( RFC 7517 ) که حاوی مجموعه ای از کلیدهای عمومی است، مشخص می کند. فقط زمانی استفاده کنید که الگوریتم یکی از RS256/RS384/RS512، PS256/PS384/PS512، یا ES256/ES384/ES512 باشد.

اگر JWS ورودی دارای شناسه کلیدی باشد که در مجموعه JWKS وجود دارد، خط‌مشی از کلید عمومی صحیح برای تأیید امضای JWS استفاده می‌کند. برای جزئیات بیشتر درباره این ویژگی، به استفاده از مجموعه کلیدهای وب JSON (JWKS) برای تأیید JWS مراجعه کنید.

اگر مقدار را از یک URL عمومی دریافت کنید، Edge JWKS را برای مدت 300 ثانیه در حافظه پنهان نگه می دارد. هنگامی که حافظه پنهان منقضی می شود، Edge دوباره JWKS را واکشی می کند.

پیش فرض N/A
حضور برای تأیید یک JWS با استفاده از الگوریتم RSA، باید از عنصر JWKS یا Value استفاده کنید.
تایپ کنید رشته
مقادیر معتبر یک متغیر جریان، مقدار رشته یا URL.

<PublicKey/Value>

<PublicKey>
   <Value ref="public.publickey"/>
</PublicKey>
-or-
<PublicKey>
    <Value>
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAw2kPrRzcufvUNHvTH/WW
    Q0UrCw5c0+Y707KX3PpXkZGbtTT4nvU1jC0d1lHV8MfUyRXmpmnNxJHAC2F73IyN
    C5TBtXMORc+us7A2cTtC4gZV256bT4h3sIEMsDl0Joz9K9MPzVPFxa1i0RgNt06n
    Xn/Bs2UbbLlKP5Q1HPxewUDEh0gVMqz9wdIGwH1pPxKvd3NltYGfPsUQovlof3l2
    ALvO7i5Yrm96kknfFEWf1EjmCCKvz2vjVbBb6mp1ZpYfc9MOTZVpQcXSbzb/BWUo
    ZmkDb/DRW5onclGzxQITBFP3S6JXd4LNESJcTp705ec1cQ9Wp2Kl+nKrKyv1E5Xx
    DQIDAQAB
    -----END PUBLIC KEY-----
    </Value>
</PublicKey>

کلید عمومی مورد استفاده برای تأیید امضا در JWS را مشخص می کند. از ویژگی ref برای ارسال کلید در متغیر جریان استفاده کنید یا کلید رمزگذاری شده PEM را مستقیماً مشخص کنید. فقط زمانی استفاده کنید که الگوریتم یکی از RS256/RS384/RS512، PS256/PS384/PS512، یا ES256/ES384/ES512 باشد.

پیش فرض N/A
حضور برای تأیید یک JWS امضا شده با الگوریتم RSA، باید از عناصر JWKS یا Value استفاده کنید.
تایپ کنید رشته
مقادیر معتبر یک متغیر جریان یا رشته.

<SecretKey/Value>

<SecretKey>
  <Value ref="private.your-variable-name"/>
</SecretKey>

کلید مخفی مورد استفاده برای تأیید یا امضای نشانه ها با الگوریتم HMAC را ارائه می دهد. فقط زمانی استفاده کنید که الگوریتم یکی از HS256، HS384، HS512 باشد. از ویژگی ref برای ارسال کلید در متغیر جریان استفاده کنید.

پیش فرض N/A
حضور برای الگوریتم های HMAC مورد نیاز است.
تایپ کنید رشته
مقادیر معتبر یک متغیر جریان که به یک رشته اشاره دارد.

نکته: اگر یک متغیر جریان باشد، باید پیشوند "خصوصی" داشته باشد. مثلا private.mysecret

<منبع>

<Source>JWS-variable</Source>

اگر وجود داشته باشد، متغیر جریانی را مشخص می‌کند که سیاست انتظار دارد JWS را برای تأیید پیدا کند.

پیش فرض request.header.authorization (برای اطلاعات مهم در مورد پیش فرض به یادداشت بالا مراجعه کنید).
حضور اختیاری
تایپ کنید رشته
مقادیر معتبر نام متغیر جریان لبه.

متغیرهای جریان

پس از موفقیت، سیاست های Verify JWS و Decode JWS متغیرهای زمینه را مطابق این الگو تنظیم می کنند:

jws.{policy_name}.{variable_name}

به عنوان مثال، اگر نام خط مشی verify-jws باشد، این خط مشی الگوریتم مشخص شده در JWS را در این متغیر زمینه ذخیره می کند: jws.verify-jws.header.algorithm

نام متغیر توضیحات
decoded.header. name مقدار قابل تجزیه JSON یک هدر در بار. یک متغیر برای هر هدر در محموله تنظیم شده است. در حالی که می توانید از header. name متغیرهای جریان، این متغیر پیشنهادی برای استفاده برای دسترسی به هدر است.
header.algorithm الگوریتم امضای مورد استفاده در JWS. به عنوان مثال، RS256، HS384، و غیره. برای اطلاعات بیشتر به پارامتر سرصفحه (الگوریتم) مراجعه کنید.
header.kid شناسه کلید، اگر هنگام تولید JWS اضافه شود. همچنین به «استفاده از مجموعه کلیدهای وب JSON (JWKS)» در نمای کلی خط‌مشی‌های JWT و JWS برای تأیید JWS مراجعه کنید. برای اطلاعات بیشتر به پارامتر سرصفحه (شناسه کلید) مراجعه کنید.
header.type مقدار نوع سرصفحه برای اطلاعات بیشتر به پارامتر سرصفحه (تایپ) مراجعه کنید.
header. name مقدار هدر نامگذاری شده (استاندارد یا اضافی). یکی از اینها برای هر هدر اضافی در قسمت هدر JWS تنظیم می شود.
header-json هدر با فرمت JSON.
payload محموله JWS اگر JWS دارای محموله متصل باشد. برای بار جدا شده، این متغیر خالی است.
valid در مورد VerifyJWS، این متغیر زمانی درست خواهد بود که امضا تایید شود، و زمان فعلی قبل از انقضای توکن است، و بعد از مقدار notBefore توکن، در صورت وجود. در غیر این صورت نادرست.

در مورد DecodeJWS، این متغیر تنظیم نشده است.

مرجع خطا

این بخش کدهای خطا و پیام‌های خطایی را که برگردانده می‌شوند و متغیرهای خطا را که توسط Edge تنظیم می‌شوند، هنگامی که این خط‌مشی خطا را راه‌اندازی می‌کند، توضیح می‌دهد. این اطلاعات برای دانستن اینکه آیا در حال توسعه قوانین خطا برای رسیدگی به خطاها هستید، مهم است. برای کسب اطلاعات بیشتر، آنچه را که باید در مورد خطاهای خط مشی و مدیریت خطاها بدانید را ببینید.

خطاهای زمان اجرا

این خطاها ممکن است هنگام اجرای سیاست رخ دهند.

کد خطا وضعیت HTTP زمانی رخ می دهد
steps.jws.AlgorithmInTokenNotPresentInConfiguration 401 زمانی رخ می دهد که خط مشی تأیید چندین الگوریتم داشته باشد
steps.jws.AlgorithmMismatch 401 الگوریتم مشخص شده در سربرگ توسط خط مشی Generate با الگوریتم مورد انتظار در خط مشی تأیید مطابقت نداشت. الگوریتم های مشخص شده باید مطابقت داشته باشند.
steps.jws.ContentIsNotDetached 401 <DetachedContent> زمانی مشخص می شود که JWS حاوی محتویات جدا شده نباشد.
steps.jws.FailedToDecode 401 این خط مشی قادر به رمزگشایی JWS نبود. JWS احتمالاً خراب است.
steps.jws.InsufficientKeyLength 401 برای یک کلید کمتر از 32 بایت برای الگوریتم HS256
steps.jws.InvalidClaim 401 برای ادعای مفقود یا عدم تطابق ادعا، یا عدم تطابق سرصفحه یا سرصفحه.
steps.jws.InvalidCurve 401 منحنی مشخص شده توسط کلید برای الگوریتم منحنی بیضی معتبر نیست.
steps.jws.InvalidJsonFormat 401 JSON نامعتبر در هدر JWS یافت شد.
steps.jws.InvalidJws 401 این خطا زمانی رخ می دهد که تأیید امضای JWS ناموفق باشد.
steps.jws.InvalidPayload 401 محموله JWS نامعتبر است.
steps.jws.InvalidSignature 401 <DetachedContent> حذف شده است و JWS دارای یک بار محتوای جدا شده است.
steps.jws.KeyIdMissing 401 خط‌مشی تأیید از یک JWKS به عنوان منبع کلیدهای عمومی استفاده می‌کند، اما JWS امضاشده دارای ویژگی kid در سرصفحه نیست.
steps.jws.KeyParsingFailed 401 کلید عمومی از اطلاعات کلید داده شده قابل تجزیه نیست.
steps.jws.MissingPayload 401 محموله JWS وجود ندارد.
steps.jws.NoAlgorithmFoundInHeader 401 زمانی رخ می دهد که JWS سربرگ الگوریتم را حذف کند.
steps.jws.NoMatchingPublicKey 401 خط‌مشی تأیید از یک JWKS به عنوان منبع کلیدهای عمومی استفاده می‌کند، اما kid در JWS امضاشده در JWKS فهرست نشده است.
steps.jws.UnhandledCriticalHeader 401 سرصفحه ای که توسط خط مشی Verify JWS در هدر crit یافت می شود در KnownHeaders فهرست نشده است.
steps.jws.UnknownException 401 یک استثنا ناشناخته رخ داد.
steps.jws.WrongKeyType 401 نوع کلید اشتباه مشخص شده است. به عنوان مثال، اگر یک کلید RSA برای یک الگوریتم منحنی بیضی یا یک کلید منحنی برای یک الگوریتم RSA مشخص کنید.

خطاهای استقرار

این خطاها ممکن است زمانی رخ دهند که یک پروکسی حاوی این خط مشی را مستقر می کنید.

نام خطا زمانی رخ می دهد
InvalidAlgorithm تنها مقادیر معتبر عبارتند از: RS256، RS384، RS512، PS256، PS384، PS512، ES256، ES384، ES512، HS256، HS384، HS512.

EmptyElementForKeyConfiguration

FailedToResolveVariable

InvalidConfigurationForActionAndAlgorithmFamily

InvalidConfigurationForVerify

InvalidEmptyElement

InvalidFamiliesForAlgorithm

InvalidKeyConfiguration

InvalidNameForAdditionalClaim

InvalidNameForAdditionalHeader

InvalidPublicKeyId

InvalidPublicKeyValue

InvalidSecretInConfig

InvalidTypeForAdditionalClaim

InvalidTypeForAdditionalHeader

InvalidValueForElement

InvalidValueOfArrayAttribute

InvalidVariableNameForSecret

MissingConfigurationElement

MissingElementForKeyConfiguration

MissingNameForAdditionalClaim

MissingNameForAdditionalHeader

 سایر خطاهای احتمالی استقرار

متغیرهای خطا

این متغیرها زمانی تنظیم می شوند که یک خطای زمان اجرا رخ دهد. برای اطلاعات بیشتر، به آنچه باید در مورد خطاهای خط مشی بدانید مراجعه کنید.

متغیرها کجا مثال
fault.name=" fault_name " fault_name نام خطا است، همانطور که در جدول خطاهای Runtime در بالا ذکر شده است. نام خطا آخرین قسمت کد خطا است. fault.name Matches "TokenExpired"
JWS.failed همه خط مشی های JWS در صورت خرابی یک متغیر را تنظیم می کنند. jws.JWS-Policy.failed = true

نمونه پاسخ خطا

برای رسیدگی به خطا، بهترین روش به دام انداختن قسمت errorcode در پاسخ به خطا است. به متن موجود در faultstring تکیه نکنید، زیرا ممکن است تغییر کند.

مثال قانون خطا 

<FaultRules>
    <FaultRule name="JWS Policy Errors">
        <Step>
            <Name>JavaScript-1</Name>
            <Condition>(fault.name Matches "TokenExpired")</Condition>
        </Step>
        <Condition>JWS.failed=true</Condition>
    </FaultRule>
</FaultRules>