JWS नीति की पुष्टि करें

आपको Apigee Edge दस्तावेज़ दिख रहा है.
Apigee X दस्तावेज़ देखें.

यह क्या है

क्लाइंट या दूसरे सिस्टम से मिले JWS सर्वर पर, हस्ताक्षर की पुष्टि करता है. यह नीति, हेडर के वैरिएबल को कॉन्टेक्स्ट वैरिएबल में भी निकालती है, ताकि बाद में नीतियों या शर्तों की मदद से उन वैल्यू की जांच की जा सके. इससे, अनुमति देने या रूटिंग से जुड़े फ़ैसले लेने में मदद मिलती है. इस बारे में पूरी जानकारी पाने के लिए, JWS और JWT से जुड़ी नीतियों की खास जानकारी देखें.

अगर JWS कोड की पुष्टि हो गई है और वह मान्य है, तो अनुरोध को आगे बढ़ने की अनुमति मिलती है. अगर JWS हस्ताक्षर की पुष्टि नहीं हो सकी या किसी तरह की गड़बड़ी होने की वजह से JWS अमान्य है, तो सभी प्रोसेसिंग रुक जाते हैं और जवाब में गड़बड़ी दिखती है.

JWS के पुर्ज़े और उन्हें एन्क्रिप्ट (सुरक्षित) करने के तरीके के बारे में जानने के लिए, RFC7515 देखें.

वीडियो

JWS पेज पर हस्ताक्षर की पुष्टि करने का तरीका जानने के लिए, यह छोटा वीडियो देखें. हालांकि, यह वीडियो JWT की पुष्टि करने के लिए है, लेकिन JWS के लिए कई कॉन्सेप्ट एक जैसे हैं.

सैंपल

• HS256 एल्गोरिदम से हस्ताक्षर किए हुए JWS अटैच करना
• RS256 एल्गोरिदम की मदद से, अलग किए गए JWS सर्वर की पुष्टि करना

HS256 एल्गोरिदम से हस्ताक्षर किए हुए JWS अटैचमेंट की पुष्टि करें

इस उदाहरण में, अटैच किए गए ऐसे JWS की पुष्टि की गई है जिस पर HS256 एन्क्रिप्शन एल्गोरिदम के साथ, SHA-256 चेकसम का इस्तेमाल करके हस्ताक्षर किया गया है. JWS प्रॉक्सी अनुरोध में JWS नाम के फ़ॉर्म पैरामीटर का इस्तेमाल करके पास किया जाता है. कुंजी, private.secretkey नाम के वैरिएबल में मौजूद होती है.

अटैच किए गए JWS में एन्कोड किया गया हेडर, पेलोड, और हस्ताक्षर शामिल है:

header.payload.signature

नीति के कॉन्फ़िगरेशन में वह जानकारी शामिल होती है जिसमें Edge को डिकोड करना और उसका आकलन करना ज़रूरी होता है. जैसे, JWS कहां ढूंढना है, <Source> एलिमेंट में दिए गए फ़्लो वैरिएबल में, ज़रूरी साइनिंग एल्गोरिदम और कहां से एज कुंजी को स्टोर किया जाता है (उदाहरण के लिए, उसे Edge KVM से वापस लाया जा सकता है).

<VerifyJWS name="JWS-Verify-HS256">
    <DisplayName>JWS Verify HS256</DisplayName>
    <Algorithm>HS256</Algorithm>
    <Source>request.formparam.JWS</Source>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <SecretKey>
        <Value ref="private.secretkey"/>
    </SecretKey>
</VerifyJWS>

इस नीति का आउटपुट, संदर्भ वैरिएबल में होता है, ताकि एपीआई प्रॉक्सी की बाद में लागू होने वाली नीतियां या शर्तें, उन वैल्यू की जांच कर सकें. इस नीति से सेट किए गए वैरिएबल की सूची के लिए, फ़्लो वैरिएबल देखें.

RS256 एल्गोरिदम की मदद से, अलग किए गए JWS सर्वर की पुष्टि करें

इस उदाहरण में, अलग किए गए JWS की पुष्टि की जाएगी. इस पर RS256 एल्गोरिदम का इस्तेमाल करके हस्ताक्षर किया गया है. पुष्टि करने के लिए, आपको सार्वजनिक कुंजी देनी होगी. JWS प्रॉक्सी अनुरोध में पास किया जाता है. इसका इस्तेमाल JWS नाम के फ़ॉर्म पैरामीटर का इस्तेमाल करके किया जाता है. सार्वजनिक कुंजी, public.publickey नाम वाले वैरिएबल में शामिल होती है.

अलग किए गए JWS, JWS से पेलोड को हटा देता है:

header..signature

पेलोड को शामिल करने वाले वैरिएबल का नाम <DetachedContent> एलिमेंट में देकर, इसे तय करने का काम आप पर निर्भर करता है. जिस कॉन्टेंट में जानकारी दी गई है वह <DetachedContent> में मूल कोड में होना चाहिए. साथ ही, यह JWS हस्ताक्षर बनाते समय भी होना चाहिए.

<VerifyJWS name="JWS-Verify-RS256">
    <DisplayName>JWS Verify RS256</DisplayName>
    <Algorithm>RS256</Algorithm>
    <Source>request.formparam.JWS</Source>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <PublicKey>
        <Value ref="public.publickey"/>
    </PublicKey>
    <DetachedContent>private.payload</DetachedContent>
</VerifyJWS>

इस नीति का आउटपुट, संदर्भ वैरिएबल में होता है, ताकि एपीआई प्रॉक्सी की बाद में लागू होने वाली नीतियां या शर्तें, उन वैल्यू की जांच कर सकें. इस नीति से सेट किए गए वैरिएबल की सूची के लिए, फ़्लो वैरिएबल देखें.

मुख्य एलिमेंट सेट करना

JWS की पुष्टि करने के लिए इस्तेमाल किए जाने वाले एलिमेंट, चुने गए एल्गोरिदम पर निर्भर करते हैं. इसका तरीका नीचे दी गई टेबल में दिखाया गया है:

<SecretKey>
  <Value ref="private.secretkey"/>
</SecretKey>

<PublicKey>
  <Value ref="rsa_public_key"/>
</PublicKey>

<PublicKey>
  <JWKS ref="jwks_val_ref_or_url"/>
</PublicKey>

एलिमेंट का रेफ़रंस

इस नीति की मदद से, 'पुष्टि करें' विकल्प की JWS नीति से जुड़ी एलिमेंट और विशेषताओं के बारे में जानकारी मिलती है.

ध्यान दें: इस्तेमाल किए जाने वाले एन्क्रिप्शन एल्गोरिदम के आधार पर, कॉन्फ़िगरेशन कुछ अलग होगा. इस्तेमाल के कुछ खास उदाहरण देने के लिए, उदाहरण देखें.

ऐसे एट्रिब्यूट जो टॉप लेवल एलिमेंट पर लागू होते हैं

<VerifyJWS name="JWS" continueOnError="false" enabled="true" async="false">

नीचे दिए गए एट्रिब्यूट, नीति से जुड़े सभी पैरंट एलिमेंट के लिए आम तौर पर इस्तेमाल किए जाते हैं.

<डिसप्ले नाम>

<DisplayName>Policy Display Name</DisplayName>

मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) प्रॉक्सी एडिटर में, नीति को लेबल करने के लिए नाम एट्रिब्यूट के साथ-साथ इस्तेमाल करें.

<एल्गोरिदम>

<Algorithm>HS256</Algorithm>

टोकन पर हस्ताक्षर करने के लिए एन्क्रिप्शन एल्गोरिदम के बारे में बताता है. RS*/PS*/ES* एल्गोरिदम, सार्वजनिक/सीक्रेट की कुंजी का जोड़ा इस्तेमाल करते हैं, जबकि HS* एल्गोरिदम एक शेयर किया गया सीक्रेट लागू करते हैं. हस्ताक्षर को एन्क्रिप्ट करने के एल्गोरिदम के बारे में जानकारी भी देखें.

एक से ज़्यादा वैल्यू सबमिट करने के लिए, कॉमा का इस्तेमाल करें. उदाहरण के लिए, "HS256, HS512" या "RS256, PS256". हालांकि, एचएस* एल्गोरिदम को किसी और ES* एल्गोरिदम के साथ नहीं जोड़ा जा सकता. इसके लिए, उन्हें किसी खास तरह की कुंजी की ज़रूरत होगी. आप आरएस* और पीएस* एल्गोरिदम को एक साथ जोड़ सकते हैं.

<अतिरिक्त हेडर/दावा>

<AdditionalHeaders>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
    <Claim name='claim4' ref='variable-name' type='string' array='true'/>
 </AdditionalHeaders>

यह पुष्टि करता है कि JWS हेडर में, तय किया गया कोई दूसरा नाम/वैल्यू पेयर और दावा की गई वैल्यू, मेल खाती हैं या नहीं.

अतिरिक्त दावे का इस्तेमाल करने के लिए, ऐसे नाम का इस्तेमाल किया जाता है जो मानक, रजिस्टर किए गए JWS के दावों में शामिल नहीं होता. अतिरिक्त दावे की वैल्यू कोई स्ट्रिंग, संख्या, बूलियन, मैप या श्रेणी हो सकती है. मैप नाम/वैल्यू पेयर का एक सेट होता है. इनमें से किसी भी तरह के दावे की वैल्यू, नीति कॉन्फ़िगरेशन में साफ़ तौर पर या फ़्लो फ़्लो के रेफ़रंस से हो सकती है.

<Claim> एलिमेंट इन एट्रिब्यूट को लेता है:

• name - (ज़रूरी है) दावे का नाम.
• ref - (ज़रूरी नहीं) फ़्लो वैरिएबल का नाम. नीति मौजूद होने पर, इस वैरिएबल की वैल्यू दावे के तौर पर इस्तेमाल की जाएगी. अगर ref एट्रिब्यूट और अश्लील दावे की वैल्यू, दोनों के बारे में बताया गया हो, तो डिफ़ॉल्ट वैल्यू डिफ़ॉल्ट होती है. इस वैल्यू का इस्तेमाल, बताए गए फ़्लो वैरिएबल का समाधान न होने पर किया जाता है.
• type - (ज़रूरी नहीं) इनमें से एक: स्ट्रिंग (डिफ़ॉल्ट), नंबर, बूलियन या मैप
• array - (ज़रूरी नहीं) true पर सेट करके बताएं कि वैल्यू अलग-अलग तरह की है या नहीं. डिफ़ॉल्ट: गलत.

<DetachedContent>

<DetachedContent>variable-name-here</DetachedContent>

कॉन्टेंट पेलोड के साथ जनरेट किया गया JWS, इस तरह का है:

header.payload.signature

अगर अलग किए गए पेलोड को बनाने के लिए, GenerateJWS नीति का इस्तेमाल किया जाता है, तो जनरेट किया गया JWS, पेलोड को हटा देता है और फ़ॉर्म में दिखता है:

header..signature

अलग किए गए पेलोड के लिए, आप <DetachedContent> एलिमेंट का इस्तेमाल करके, पेलोड को ConfirmJWS नीति में पास करें. बताए गए कॉन्टेंट पेलोड को ओरिजिनल कोड में नहीं बदला जाना चाहिए. यह उस समय था जब JWS हस्ताक्षर बनाया गया था.

इस नीति से गड़बड़ी का पता चलता है, जब:

• <DetachedContent> तब तय किया जाता है, जब JWS में कोई अलग कॉन्टेंट पेलोड न हो (यह गड़बड़ी कोड steps.jws.ContentIsNotDetached है).
• <DetachedContent> को हटा दिया गया है और JWS में अलग किए गए कॉन्टेंट पेलोड हैं (गड़बड़ी कोड steps.jws.InvalidSignature है).

<ignoreHeaders>

<IgnoreCriticalHeaders>true|false</IgnoreCriticalHeaders>

अगर आप चाहते हैं कि नीति में गड़बड़ी होने पर, JWS के क्रिट हेडर की सूची में कोई <KnownHeaders> हेडर न हो, तो 'गलत है' पर सेट करें. 'सही है' पर सेट करें, ताकि Jit हेडर को नज़रअंदाज़ करने के लिए, पुष्टि करने की नीति का पालन किया जा सके.

इस एलिमेंट को 'सही' पर सेट करने की एक वजह यह है कि अगर आप जांच की सुविधा वाले माहौल में हैं और हेडर मौजूद न होने की वजह से नीति को लागू नहीं करना है.

<अनदेखा न किए गए वैरिएबल>

<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>

अगर नीति में मौजूद, बताए गए किसी भी वैरिएबल को ठीक नहीं किया जा सकता, तो नीति को गड़बड़ी के तौर पर सेट करें. 'सही नहीं है' वाले वैरिएबल को खाली स्ट्रिंग (खाली) मानने के लिए 'सही' पर सेट करें.

<जाने वाले हेडर>

<KnownHeaders>a,b,c</KnownHeaders>

or:

<KnownHeaders ref=’variable_containing_headers’/>

GenerateJWS नीति, टोकन में क्रिट हेडर को पॉप्युलेट करने के लिए, <CriticalHeaders> एलिमेंट का इस्तेमाल करती है. उदाहरण के लिए:

{
  “typ: “...”,
  “alg” : “...”,
  “crit” : [ “a”, “b”, “c” ],
}

अगर JWS नीति, JWS में मौजूद है, तो वह क्रिट हेडर की जांच करती है. साथ ही, हर सूची में मौजूद आइटम, यह जांच करता है कि <KnownHeaders> एलिमेंट भी उस हेडर की सूची दिखाता है. <KnownHeaders> एलिमेंट में क्रिकेट में दिए गए आइटम का एक सुपरसेट हो सकता है. यह ज़रूरी है कि क्रिट में दिए गए सभी हेडर <KnownHeaders> एलिमेंट में दिए गए हों. अगर किसी हेडर में वह नीति क्रिट है जो <KnownHeaders> में भी शामिल नहीं है, तो पुष्टि करने की नीति का उल्लंघन हो सकता है.

<IgnoreCriticalHeaders> एलिमेंट को true पर सेट करके, crit हेडर को अनदेखा करने के लिए, पुष्टि करने के लिए पुष्टि की नीति को वैकल्पिक रूप से कॉन्फ़िगर किया जा सकता है.

<PublicKey/JWKS>

<!-- Specify the JWKS. -->
<PublicKey>
   <JWKS>jwks-value-here</JWKS>
</PublicKey>

or:

<!-- Specify a variable containing the JWKS. -->
<PublicKey>
   <JWKS ref="public.jwks"/>
</PublicKey>

or:

<!-- Specify a public URL that returns the JWKS.
The URL is static, meaning you cannot set it using a variable. -->
<PublicKey>
   <JWKS uri="jwks-url"/>
</PublicKey>

JWKS फ़ॉर्मैट (RFC 7517) में वह वैल्यू बताता है जिसमें सार्वजनिक कुंजियों का सेट होता है. इसका इस्तेमाल सिर्फ़ तब करें, जब एल्गोरिदम RS256/RS384/RS512, PS256/PS384/PS512 या ES256/ES384/ES512 में से किसी एक वर्शन का इस्तेमाल करता हो.

अगर इनबाउंड JWS, कुंजी आईडी दिखाता है, जो JWKS के सेट में मौजूद होता है, तो नीति JWS हस्ताक्षर की पुष्टि करने के लिए, सही सार्वजनिक कुंजी का इस्तेमाल करेगी. इस सुविधा के बारे में जानकारी के लिए, JWS की पुष्टि करने के लिए, JSON वेब कुंजी सेट (JWKS का इस्तेमाल करना) देखें.

किसी सार्वजनिक यूआरएल से वैल्यू फ़ेच करने पर, Edge JWKS को 300 सेकंड के लिए कैश मेमोरी में सेव करता है. कैश मेमोरी की समयसीमा खत्म होने पर, Edge JWKS को फिर से फ़ेच करता है.

<PublicKey/वैल्यू>

<PublicKey>
   <Value ref="public.publickey"/>
</PublicKey>
-or-
<PublicKey>
    <Value>
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAw2kPrRzcufvUNHvTH/WW
    Q0UrCw5c0+Y707KX3PpXkZGbtTT4nvU1jC0d1lHV8MfUyRXmpmnNxJHAC2F73IyN
    C5TBtXMORc+us7A2cTtC4gZV256bT4h3sIEMsDl0Joz9K9MPzVPFxa1i0RgNt06n
    Xn/Bs2UbbLlKP5Q1HPxewUDEh0gVMqz9wdIGwH1pPxKvd3NltYGfPsUQovlof3l2
    ALvO7i5Yrm96kknfFEWf1EjmCCKvz2vjVbBb6mp1ZpYfc9MOTZVpQcXSbzb/BWUo
    ZmkDb/DRW5onclGzxQITBFP3S6JXd4LNESJcTp705ec1cQ9Wp2Kl+nKrKyv1E5Xx
    DQIDAQAB
    -----END PUBLIC KEY-----
    </Value>
</PublicKey>

JWS पर हस्ताक्षर की पुष्टि करने के लिए इस्तेमाल होने वाली सार्वजनिक कुंजी के बारे में बताता है. फ़्लो वैरिएबल में कुंजी पास करने के लिए, संदर्भ एट्रिब्यूट का इस्तेमाल करें या सीधे PEM कोड में बताई गई कुंजी डालें. इसका इस्तेमाल सिर्फ़ तब करें, जब एल्गोरिदम, RS256/RS384/RS512, PS256/PS384/PS512 या ES256/ES384/ES512 में से एक हो.

<SecretKey/वैल्यू>

<SecretKey>
  <Value ref="private.your-variable-name"/>
</SecretKey>

यह टोकन के तौर पर, एचएमएसी एल्गोरिदम की मदद से टोकन की पुष्टि या हस्ताक्षर करने के लिए इस्तेमाल किया जाता है. सिर्फ़ तब इस्तेमाल करें, जब एल्गोरिदम HS256, HS384, HS512 में से किसी एक फ़ॉर्मैट में हो. फ़्लो वैरिएबल में कुंजी पास करने के लिए, ref एट्रिब्यूट का इस्तेमाल करें.

<स्रोत>

<Source>JWS-variable</Source>

अगर यह नीति लागू होती है, तो नीति में उस फ़्लो वैरिएबल के बारे में बताया जाता है जिसके लिए नीति की मदद से, पुष्टि करने के लिए JWS ढूंढना ज़रूरी है.

फ़्लो वैरिएबल

सफल होने पर, JWS की पुष्टि करें और JWS को डिकोड करें नीतियां, इस पैटर्न के हिसाब से कॉन्टेक्स्ट वैरिएबल सेट करती हैं:

jws.{policy_name}.{variable_name}

उदाहरण के लिए, अगर नीति का नाम verify-jws है, तो नीति को JWS में तय किए गए एल्गोरिदम को इस कॉन्टेक्स्ट वैरिएबल में सेव किया जाएगा: jws.verify-jws.header.algorithm

गड़बड़ी का रेफ़रंस

इस सेक्शन में उन गड़बड़ी कोड और लौटाए गए गड़बड़ी के मैसेज के बारे में बताया गया है जो गड़बड़ी सेट करते हैं. ये मैसेज तब ट्रिगर होते हैं, जब इस नीति से गड़बड़ी होती है. यह जानकारी होना ज़रूरी है, ताकि यह पता लगाया जा सके कि आप गड़बड़ी ठीक करने के लिए नियम बना रहे हैं या नहीं. ज़्यादा जानने के लिए, नीति से जुड़ी गड़बड़ियों के बारे में ज़रूरी जानकारी और गड़बड़ी ठीक करना देखें.

रनटाइम से जुड़ी गड़बड़ियां

नीति के लागू होने पर ये गड़बड़ियां हो सकती हैं.

डिप्लॉयमेंट से जुड़ी गड़बड़ियां

ये गड़बड़ियां तब हो सकती हैं, जब इस नीति वाला प्रॉक्सी डिप्लॉय किया जाता है.

गड़बड़ी वाले वैरिएबल

रनटाइम के दौरान गड़बड़ी होने पर ये वैरिएबल सेट होते हैं. ज़्यादा जानकारी के लिए, नीति से जुड़ी गड़बड़ियों के बारे में ज़रूरी जानकारी देखें.

गड़बड़ी के जवाब का उदाहरण

गड़बड़ी को ठीक करने के लिए, सबसे सही तरीका है कि आप गड़बड़ी के जवाब के errorcode हिस्से का इस्तेमाल करें. faultstring के टेक्स्ट पर भरोसा न करें, क्योंकि यह बदल सकता है.

गड़बड़ी के नियम का उदाहरण

<FaultRules>
    <FaultRule name="JWS Policy Errors">
        <Step>
            <Name>JavaScript-1</Name>
            <Condition>(fault.name Matches "TokenExpired")</Condition>
        </Step>
        <Condition>JWS.failed=true</Condition>
    </FaultRule>
</FaultRules>