Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về
Apigee X. thông tin
Nội dung
Xác minh chữ ký trên JWS nhận được từ ứng dụng hoặc hệ thống khác. Chính sách này cũng trích xuất tiêu đề thành các biến ngữ cảnh để các chính sách hoặc điều kiện tiếp theo có thể kiểm tra các giá trị đó nhằm đưa ra quyết định uỷ quyền hoặc định tuyến. Hãy xem bài viết Tổng quan về các chính sách JWS và JWT để nắm được nội dung giới thiệu chi tiết.
Nếu JWS đã được xác minh và hợp lệ thì yêu cầu sẽ được phép tiếp tục. Nếu không thể xác minh chữ ký JWS hoặc nếu JWS không hợp lệ do một số loại lỗi, thì mọi quá trình xử lý sẽ dừng và lỗi sẽ được trả về trong phản hồi.
Để tìm hiểu về các thành phần của JWS cũng như cách các thành phần đó được mã hoá và ký, hãy tham khảo RFC7515.
Video
Xem một video ngắn để tìm hiểu cách xác minh chữ ký trên JWS. Mặc dù video này dành riêng cho việc xác minh JWT, nhưng nhiều khái niệm giống nhau đối với JWS.
Mẫu
- Xác minh một JWS đính kèm được ký bằng thuật toán HS256
- Xác minh một JWS đã tách rời được ký bằng thuật toán RS256
Xác minh một JWS đính kèm được ký bằng thuật toán HS256
Chính sách ví dụ này xác minh một JWS đính kèm đã được ký bằng thuật toán mã hoá HS256, HMAC bằng giá trị tổng kiểm SHA-256. JWS được truyền vào yêu cầu proxy bằng cách sử dụng tham số biểu mẫu có tên JWS. Khoá này nằm trong biến có tên private.secretkey.
Một JWS đính kèm có chứa tiêu đề, tải trọng và chữ ký được mã hoá:
header.payload.signature
Cấu hình chính sách bao gồm thông tin mà Edge cần để giải mã và đánh giá JWS, chẳng hạn như nơi tìm JWS (trong biến luồng được chỉ định trong phần tử <Source>), thuật toán ký bắt buộc và nơi tìm khoá bí mật (được lưu trữ trong biến luồng Edge, có thể được truy xuất từ Edge KVM chẳng hạn).
<VerifyJWS name="JWS-Verify-HS256">
<DisplayName>JWS Verify HS256</DisplayName>
<Algorithm>HS256</Algorithm>
<Source>request.formparam.JWS</Source>
<IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
<SecretKey>
<Value ref="private.secretkey"/>
</SecretKey>
</VerifyJWS>
Chính sách này ghi đầu ra vào các biến ngữ cảnh để các chính sách hoặc điều kiện tiếp theo trong proxy API có thể kiểm tra các giá trị đó. Hãy xem phần Biến luồng để biết danh sách các biến do chính sách này đặt.
Xác minh một JWS đã tách rời được ký bằng thuật toán RS256
Chính sách ví dụ này xác minh một JWS đã tách rời và được ký bằng thuật toán RS256. Để xác minh, bạn cần cung cấp khoá công khai. JWS được truyền vào yêu cầu proxy bằng cách sử dụng tham số biểu mẫu có tên JWS. Khoá công khai nằm trong biến có tên public.publickey.
Một JWS có thể tách rời bỏ qua tải trọng khỏi JWS:
header..signature
Bạn có thể tuỳ ý chuyển tải trọng tới chính sách VerifyJWS bằng cách chỉ định tên biến chứa tải trọng cho phần tử <DetachedContent>. Nội dung chỉ định trong <DetachedContent> phải ở dạng ban đầu chưa mã hoá khi chữ ký JWS được tạo.
<VerifyJWS name="JWS-Verify-RS256">
<DisplayName>JWS Verify RS256</DisplayName>
<Algorithm>RS256</Algorithm>
<Source>request.formparam.JWS</Source>
<IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
<PublicKey>
<Value ref="public.publickey"/>
</PublicKey>
<DetachedContent>private.payload</DetachedContent>
</VerifyJWS>
Chính sách này ghi đầu ra vào các biến ngữ cảnh để các chính sách hoặc điều kiện tiếp theo trong proxy API có thể kiểm tra các giá trị đó. Hãy xem phần Biến luồng để biết danh sách các biến do chính sách này đặt.
Thiết lập thành phần chính
Các phần tử mà bạn sử dụng để chỉ định khoá dùng để xác minh JWS phụ thuộc vào thuật toán đã chọn, như minh hoạ trong bảng sau:
| Thuật toán | thành phần chính | |
|---|---|---|
| HS* |
<SecretKey> <Value ref="private.secretkey"/> </SecretKey> |
|
| RS*, Tây Ban Nha*, PS* | <PublicKey> <Value ref="rsa_public_key"/> </PublicKey> hoặc: <PublicKey> <JWKS ref="jwks_val_ref_or_url"/> </PublicKey> |
|
| *Để biết thêm về các yêu cầu quan trọng, hãy xem bài viết Giới thiệu về thuật toán mã hoá chữ ký. | ||
Tham chiếu phần tử
Tài liệu tham khảo về chính sách mô tả các phần tử và thuộc tính của chính sách Xác minh JWS.
Lưu ý: Cấu hình sẽ khác nhau đôi chút tuỳ thuộc vào thuật toán mã hoá mà bạn sử dụng. Hãy tham khảo phần Ứng dụng mẫu để xem các ví dụ minh hoạ cấu hình cho các trường hợp sử dụng cụ thể.
Những thuộc tính áp dụng cho phần tử cấp cao nhất
<VerifyJWS name="JWS" continueOnError="false" enabled="true" async="false">
Những thuộc tính sau đây là những thuộc tính chung của tất cả phần tử mẹ của chính sách.
| Thuộc tính | Mô tả | Mặc định | Sự hiện diện |
|---|---|---|---|
| tên |
Tên nội bộ của chính sách. Bạn chỉ được dùng các ký tự sau đây trong tên:
A-Z0-9._\-$ %. Tuy nhiên, giao diện người dùng quản lý Edge thực thi các hạn chế bổ sung, chẳng hạn như tự động xoá các ký tự không phải là chữ và số.
Bạn có thể sử dụng phần tử |
Không áp dụng | Bắt buộc |
| continueOnError |
Đặt thành false để trả về lỗi khi một chính sách không hoạt động. Đây là hành vi dự kiến đối với hầu hết các chính sách.
Đặt thành |
false | Không bắt buộc |
| đang bật |
Đặt thành true để thực thi chính sách.
Đặt thành |
đúng | Không bắt buộc |
| async | Thuộc tính này không được dùng nữa. | false | Không được dùng nữa |
<DisplayName>
<DisplayName>Policy Display Name</DisplayName>
Sử dụng cùng với thuộc tính tên để gắn nhãn cho chính sách bằng một tên khác bằng ngôn ngữ tự nhiên trong trình chỉnh sửa proxy giao diện người dùng quản lý.
| Mặc định | Nếu bạn bỏ qua phần tử này, giá trị của thuộc tính tên của chính sách sẽ được sử dụng. |
| Sự hiện diện | Không bắt buộc |
| Loại | Chuỗi |
<Algorithm>
<Algorithm>HS256</Algorithm>
Chỉ định thuật toán mã hoá để ký mã thông báo. Thuật toán RS*/PS*/ES* sử dụng một cặp khoá công khai/bí mật, trong khi thuật toán HS* sử dụng một cặp khoá bí mật dùng chung. Xem thêm bài viết Giới thiệu về thuật toán mã hoá chữ ký.
Bạn có thể chỉ định nhiều giá trị được phân tách bằng dấu phẩy. Ví dụ: "HS256, HS512" hoặc "RS256, PS256". Tuy nhiên, bạn không thể kết hợp thuật toán HS* với bất kỳ thuật toán nào khác hoặc thuật toán ES* với bất kỳ thuật toán nào khác vì các thuật toán này yêu cầu một loại khoá cụ thể. Bạn có thể kết hợp thuật toán RS* và PS*.
| Mặc định | Không áp dụng |
| Sự hiện diện | Bắt buộc |
| Loại | Chuỗi giá trị được phân tách bằng dấu phẩy |
| Giá trị hợp lệ | HS256, HS384, HS512, RS256, RS384, RS512, ES256, ES384, ES512, PS256, PS384, PS512 |
<AdditionalHeaders/Claim> (Thông tin bổ sung/Xác nhận quyền sở hữu>)
<AdditionalHeaders>
<Claim name='claim1'>explicit-value-of-claim-here</Claim>
<Claim name='claim2' ref='variable-name-here'/>
<Claim name='claim3' ref='variable-name-here' type='boolean'/>
<Claim name='claim4' ref='variable-name' type='string' array='true'/>
</AdditionalHeaders>
Xác thực rằng tiêu đề JWS chứa(các) cặp giá trị/tên xác nhận bổ sung được chỉ định và các giá trị xác nhận quyền sở hữu đã xác nhận khớp với nhau.
Thông báo xác nhận quyền sở hữu bổ sung sử dụng tên không phải là một trong các tên xác nhận quyền sở hữu JWS chuẩn đã đăng ký. Giá trị của một tuyên bố bổ sung có thể là chuỗi, số, boolean, tệp ánh xạ hoặc mảng. Tệp ánh xạ chỉ đơn giản là một tập hợp các cặp tên/giá trị. Bạn có thể chỉ định giá trị cho thông báo xác nhận quyền sở hữu thuộc bất kỳ loại nào trong số này một cách rõ ràng trong cấu hình chính sách hoặc gián tiếp thông qua tham chiếu đến biến luồng.
| Mặc định | Không áp dụng |
| Sự hiện diện | Không bắt buộc |
| Loại |
Chuỗi (mặc định), số, boolean hoặc bản đồ. Kiểu mặc định là Chuỗi nếu không chỉ định loại nào. |
| Mảng | Đặt thành true để cho biết liệu giá trị có phải là một mảng các loại hay không. Mặc định: false |
| Giá trị hợp lệ | Bất kỳ giá trị nào mà bạn muốn sử dụng cho một thông báo xác nhận quyền sở hữu bổ sung. |
Phần tử <Claim> có các thuộc tính sau:
- name – (Bắt buộc) Tên của thông báo xác nhận quyền sở hữu.
- ref – (Không bắt buộc) Tên của biến luồng. Nếu có, chính sách này sẽ sử dụng giá trị của biến này làm thông báo xác nhận quyền sở hữu. Nếu bạn chỉ định cả thuộc tính ref và giá trị tuyên bố rõ ràng, thì giá trị tường minh sẽ là giá trị mặc định và được dùng nếu biến luồng được tham chiếu không được phân giải.
- type – (Không bắt buộc) Một trong các loại: string (mặc định), number, boolean hoặc map
- mảng – (Không bắt buộc) Đặt thành true để cho biết liệu giá trị có phải là một mảng các loại hay không. Mặc định: false.
<DetachedContent>
<DetachedContent>variable-name-here</DetachedContent>
JWS được tạo với tải trọng nội dung có dạng:
header.payload.signature
Nếu bạn sử dụng GenerateJWS chính sách để tạo tải trọng có thể tách, thì JWS được tạo sẽ bỏ qua tải trọng và có dạng:
header..signature
Đối với tải trọng có thể tách rời, bạn có thể chuyển tải trọng đó tới chính sách VerifyJWS bằng cách sử dụng phần tử <DetachedContent>. Tải trọng nội dung được chỉ định phải ở dạng ban đầu chưa mã hoá khi chữ ký JWS được tạo.
Chính sách này sẽ báo lỗi khi:
<DetachedContent>được chỉ định khi JWS không chứa tải trọng nội dung có thể tách rời (mã lỗi làsteps.jws.ContentIsNotDetached).<DetachedContent>bị bỏ qua và JWS có tải trọng nội dung tách rời (mã lỗi làsteps.jws.InvalidSignature).
| Mặc định | N/A |
| Sự hiện diện | Không bắt buộc |
| Loại | Tham chiếu biến |
<IgnoreCriticalHeaders>
<IgnoreCriticalHeaders>true|false</IgnoreCriticalHeaders>
Đặt thành false nếu bạn muốn chính sách báo lỗi khi có bất kỳ tiêu đề nào trong tiêu đề crit của JWS không có trong phần tử <KnownHeaders>.
Đặt thành true để chính sách VerifyJWS bỏ qua tiêu đề crit.
Một lý do để đặt phần tử này thành true (đúng) là nếu bạn đang trong môi trường thử nghiệm và bạn không muốn chính sách này không hoạt động do thiếu tiêu đề.
| Mặc định | false |
| Sự hiện diện | Không bắt buộc |
| Loại | Boolean |
| Giá trị hợp lệ | true hoặc false |
<IgnoreUnresolvedVariables>
<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>
Đặt thành false nếu bạn muốn chính sách này báo lỗi khi không thể giải quyết mọi biến được tham chiếu đã chỉ định trong chính sách. Đặt thành true để coi mọi biến không thể phân giải là chuỗi trống (null).
| Mặc định | false |
| Sự hiện diện | Không bắt buộc |
| Loại | Boolean |
| Giá trị hợp lệ | true hoặc false |
<KnownHeaders>
<KnownHeaders>a,b,c</KnownHeaders> or: <KnownHeaders ref=’variable_containing_headers’/>
Chính sáchGenerateJWS sử dụng phần tử <CriticalHeaders> để điền tiêu đề crit vào mã thông báo. Ví dụ:
{
“typ: “...”,
“alg” : “...”,
“crit” : [ “a”, “b”, “c” ],
}
Chính sách VerifyJWS kiểm tra tiêu đề crit trong JWS nếu có. Đối với mỗi mục được liệt kê, chính sách sẽ kiểm tra để đảm bảo rằng phần tử <KnownHeaders> cũng liệt kê tiêu đề đó. Phần tử <KnownHeaders> có thể chứa tập mẹ của các mục được liệt kê trong crit.
Điều cần thiết là tất cả tiêu đề được liệt kê trong crit phải được liệt kê trong phần tử <KnownHeaders>. Nếu bất kỳ tiêu đề nào mà chính sách này tìm thấy trong crit nhưng không cũng không được liệt kê trong <KnownHeaders>, thì chính sách VerifyJWS sẽ không thành công.
Bạn có thể tuỳ ý định cấu hình chính sách VerifyJWS để bỏ qua tiêu đề crit bằng cách đặt phần tử <IgnoreCriticalHeaders> thành true.
| Mặc định | Không áp dụng |
| Sự hiện diện | Không bắt buộc |
| Loại | Mảng chuỗi được phân tách bằng dấu phẩy |
| Giá trị hợp lệ | Mảng hoặc tên của biến chứa mảng đó. |
<PublicKey/JWKS>
<!-- Specify the JWKS. --> <PublicKey> <JWKS>jwks-value-here</JWKS> </PublicKey> or: <!-- Specify a variable containing the JWKS. --> <PublicKey> <JWKS ref="public.jwks"/> </PublicKey> or: <!-- Specify a public URL that returns the JWKS. The URL is static, meaning you cannot set it using a variable. --> <PublicKey> <JWKS uri="jwks-url"/> </PublicKey>
Chỉ định một giá trị ở định dạng JWKS (RFC 7517) chứa một tập hợp các khoá công khai. Chỉ sử dụng khi thuật toán là một trong các giá trị RS256/RS384/RS512, PS256/PS384/PS512 hoặc ES256/ES384/ES512.
Nếu JWS đến có mã nhận dạng khoá có trong tập hợp JWKS, thì chính sách này sẽ sử dụng khoá công khai chính xác để xác minh chữ ký JWS. Để biết thông tin chi tiết về tính năng này, hãy xem bài viết Sử dụng Bộ khoá web JSON (JWKS) để xác minh JWS.
Nếu bạn tìm nạp giá trị từ một URL công khai, Edge sẽ lưu JWKS vào bộ nhớ đệm trong khoảng thời gian 300 giây. Khi bộ nhớ đệm hết hạn, Edge sẽ tìm nạp lại JWKS.
| Mặc định | Không áp dụng |
| Sự hiện diện | Để xác minh JWS bằng thuật toán RSA, bạn phải dùng phần tử JWKS hoặc phần tử Value. |
| Loại | Chuỗi |
| Giá trị hợp lệ | Biến luồng, giá trị chuỗi hoặc URL. |
<PublicKey/Value>
<PublicKey>
<Value ref="public.publickey"/>
</PublicKey>
-or-
<PublicKey>
<Value>
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAw2kPrRzcufvUNHvTH/WW
Q0UrCw5c0+Y707KX3PpXkZGbtTT4nvU1jC0d1lHV8MfUyRXmpmnNxJHAC2F73IyN
C5TBtXMORc+us7A2cTtC4gZV256bT4h3sIEMsDl0Joz9K9MPzVPFxa1i0RgNt06n
Xn/Bs2UbbLlKP5Q1HPxewUDEh0gVMqz9wdIGwH1pPxKvd3NltYGfPsUQovlof3l2
ALvO7i5Yrm96kknfFEWf1EjmCCKvz2vjVbBb6mp1ZpYfc9MOTZVpQcXSbzb/BWUo
ZmkDb/DRW5onclGzxQITBFP3S6JXd4LNESJcTp705ec1cQ9Wp2Kl+nKrKyv1E5Xx
DQIDAQAB
-----END PUBLIC KEY-----
</Value>
</PublicKey>
Chỉ định khoá công khai dùng để xác minh chữ ký trên JWS. Hãy sử dụng thuộc tính ref để truyền khoá vào một biến luồng hoặc chỉ định trực tiếp khoá được mã hoá PEM. Chỉ sử dụng khi thuật toán là một trong các loại RS256/RS384/RS512, PS256/PS384/PS512 hoặc ES256/ES384/ES512.
| Mặc định | Không áp dụng |
| Sự hiện diện | Để xác minh JWS đã ký bằng thuật toán RSA, bạn phải sử dụng phần tử JWKS hoặc phần tử Giá trị. |
| Loại | Chuỗi |
| Giá trị hợp lệ | Chuỗi hoặc biến luồng. |
<SecretKey/Value>
<SecretKey> <Value ref="private.your-variable-name"/> </SecretKey>
Cung cấp khoá bí mật dùng để xác minh hoặc ký mã thông báo bằng thuật toán HMAC. Chỉ sử dụng khi thuật toán là một trong các mã HS256, HS384, HS512. Sử dụng thuộc tính ref để truyền khoá vào một biến luồng.
| Mặc định | Không áp dụng |
| Sự hiện diện | Bắt buộc đối với thuật toán HMAC. |
| Loại | Chuỗi |
| Giá trị hợp lệ |
Biến luồng tham chiếu đến một chuỗi.
Lưu ý: Nếu một biến luồng, biến đó phải có tiền tố "private". Ví dụ: |
<Nguồn>
<Source>JWS-variable</Source>
Nếu có, hãy chỉ định biến luồng mà chính sách dự kiến sẽ tìm JWS để xác minh.
| Mặc định | request.header.authorization (Xem ghi chú ở trên để biết thông tin quan trọng về chế độ mặc định). |
| Sự hiện diện | Không bắt buộc |
| Loại | Chuỗi |
| Giá trị hợp lệ | Tên biến luồng Edge. |
Biến luồng
Sau khi thành công, các chính sách Verify JWS (Xác minh JWS) và Decode JWS (Giải mã JWS) sẽ đặt các biến ngữ cảnh theo mẫu sau:
jws.{policy_name}.{variable_name}
Ví dụ: nếu tên chính sách là verify-jws, thì chính sách sẽ lưu trữ
thuật toán được chỉ định trong JWS vào biến ngữ cảnh này:
jws.verify-jws.header.algorithm
| Tên biến | Nội dung mô tả |
|---|---|
decoded.header.name |
Giá trị phân tích cú pháp JSON của một tiêu đề trong tải trọng. Một biến được đặt cho mỗi tiêu đề trong tải trọng. Mặc dù bạn cũng có thể dùng các biến luồng header.name, nhưng đây là biến bạn nên dùng để truy cập vào tiêu đề. |
header.algorithm |
Thuật toán ký dùng trên JWS. Ví dụ: RS256, HS384, v.v. Xem Thông số tiêu đề(Thuật toán) để biết thêm thông tin. |
header.kid |
Mã khoá, nếu được thêm vào khi tạo JWS. Hãy xem thêm bài viết "Sử dụng Bộ khoá web JSON (JWKS)" tại bài viết Tổng quan về chính sách JWT và JWS để xác minh JWS. Xem Tham số tiêu đề(ID khóa) để biết thêm. |
header.type |
Giá trị loại tiêu đề. Xem nội dung Tham số tiêu đề(Type) để biết thêm thông tin. |
header.name |
Giá trị của tiêu đề đã đặt tên (chuẩn hoặc bổ sung). Một trong các chế độ cài đặt này sẽ được đặt cho mọi tiêu đề bổ sung trong phần tiêu đề của JWS. |
header-json |
Tiêu đề ở định dạng JSON. |
payload |
Tải trọng JWS nếu JWS có tải trọng đính kèm. Đối với tải trọng có thể tách rời, biến này trống. |
valid |
Trong trường hợp của VerifyJWS, biến này sẽ là true khi chữ ký được xác minh, thời gian hiện tại là trước khi mã thông báo hết hạn và sau giá trị của mã thông báo notBefore (nếu có). Nếu không, giá trị này sẽ là false.
Trong trường hợp của DecodeJWS, biến này không được đặt. |
Tham chiếu lỗi
Phần này mô tả các mã lỗi và thông báo lỗi được trả về, cũng như các biến lỗi do Edge đặt khi chính sách này kích hoạt lỗi. Thông tin này đóng vai trò quan trọng trong việc phát triển các quy tắc lỗi để xử lý lỗi. Để tìm hiểu thêm, hãy xem Những điều bạn cần biết về lỗi chính sách và Xử lý lỗi.
Lỗi thời gian chạy
Những lỗi này có thể xảy ra khi thực thi chính sách.
| Mã lỗi | Trạng thái HTTP | Xảy ra khi |
|---|---|---|
steps.jws.AlgorithmInTokenNotPresentInConfiguration |
401 | Xảy ra khi chính sách xác minh có nhiều thuật toán |
steps.jws.AlgorithmMismatch |
401 | Thuật toán do chính sách Tạo chỉ định trong tiêu đề không khớp với thuật toán dự kiến trong chính sách Xác minh. Thuật toán được chỉ định phải khớp. |
steps.jws.ContentIsNotDetached |
401 | <DetachedContent> được chỉ định khi JWS không chứa tải trọng nội dung có thể tách rời. |
steps.jws.FailedToDecode |
401 | Chính sách không thể giải mã JWS. JWS có thể bị hỏng. |
steps.jws.InsufficientKeyLength |
401 | Đối với khoá nhỏ hơn 32 byte đối với thuật toán HS256 |
steps.jws.InvalidClaim |
401 | Đối với thông báo xác nhận quyền sở hữu bị thiếu hoặc không khớp hoặc thiếu tiêu đề hoặc tiêu đề không khớp. |
steps.jws.InvalidCurve |
401 | Đường cong do khoá chỉ định không hợp lệ cho thuật toán Đường cong Elliptic. |
steps.jws.InvalidJsonFormat |
401 | Tìm thấy JSON không hợp lệ trong tiêu đề JWS. |
steps.jws.InvalidJws |
401 | Lỗi này xảy ra khi không xác minh được chữ ký JWS. |
steps.jws.InvalidPayload |
401 | Tải trọng JWS không hợp lệ. |
steps.jws.InvalidSignature |
401 | <DetachedContent> bị bỏ qua và JWS có tải trọng nội dung tách rời. |
steps.jws.KeyIdMissing |
401 | Chính sách Xác minh sử dụng JWKS làm nguồn cho khoá công khai, nhưng JWS đã ký không
có thuộc tính kid trong tiêu đề. |
steps.jws.KeyParsingFailed |
401 | Không thể phân tích cú pháp khoá công khai từ thông tin khoá đã cho. |
steps.jws.MissingPayload |
401 | Thiếu tải trọng JWS. |
steps.jws.NoAlgorithmFoundInHeader |
401 | Xảy ra khi JWS bỏ qua tiêu đề thuật toán. |
steps.jws.NoMatchingPublicKey |
401 | Chính sách Xác minh sử dụng JWKS làm nguồn cho khoá công khai, nhưng kid
trong JWS đã ký không có trong JWKS. |
steps.jws.UnhandledCriticalHeader |
401 | Một tiêu đề mà chính sách Xác minh JWS tìm thấy trong tiêu đề crit không được liệt kê trong KnownHeaders. |
steps.jws.UnknownException |
401 | Đã xảy ra ngoại lệ không xác định. |
steps.jws.WrongKeyType |
401 | Chỉ định sai loại khoá. Ví dụ: nếu bạn chỉ định khoá RSA cho thuật toán Elliptic Curve hoặc khoá đường cong cho thuật toán RSA. |
Lỗi triển khai
Những lỗi này có thể xảy ra khi bạn triển khai proxy chứa chính sách này.
| Tên lỗi | Xảy ra khi |
|---|---|
InvalidAlgorithm |
Các giá trị hợp lệ duy nhất là: RS256, RS384, RS512, PS256, PS384, PS512, ES256, ES384, ES512, HS256, HS384, HS512. |
|
|
Các lỗi triển khai khác có thể xảy ra. |
Biến lỗi
Các biến này được đặt khi xảy ra lỗi thời gian chạy. Để biết thêm thông tin, hãy xem Những điều bạn cần biết về lỗi chính sách.
| Biến | Trong đó | Ví dụ: |
|---|---|---|
fault.name="fault_name" |
fault_name là tên của lỗi, như liệt kê trong bảng Lỗi thời gian chạy ở trên. Tên lỗi là phần cuối cùng của mã lỗi. | fault.name Matches "TokenExpired" |
JWS.failed |
Tất cả các chính sách JWS đều đặt cùng một biến trong trường hợp xảy ra lỗi. | jws.JWS-Policy.failed = true |
Ví dụ về phản hồi lỗi
Để xử lý lỗi, phương pháp hay nhất là giữ phần errorcode của phản hồi lỗi. Đừng dựa vào văn bản trong faultstring vì văn bản này có thể thay đổi.
Ví dụ về quy tắc lỗi
<FaultRules>
<FaultRule name="JWS Policy Errors">
<Step>
<Name>JavaScript-1</Name>
<Condition>(fault.name Matches "TokenExpired")</Condition>
</Step>
<Condition>JWS.failed=true</Condition>
</FaultRule>
</FaultRules>