JWT की नीति की पुष्टि करें

आपको Apigee Edge दस्तावेज़ दिख रहा है.
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है इस पेज पर जाएं Apigee X दस्तावेज़. जानकारी

क्या

क्लाइंट या अन्य सिस्टम से मिले JWT पर हस्ताक्षर की पुष्टि करता है. इस नीति की मदद से दावों को कॉन्टेक्स्ट वैरिएबल में एक्सट्रैक्ट करता है, ताकि बाद में लागू होने वाली नीतियों या शर्तों की जांच की जा सके प्राधिकरण या रूटिंग संबंधी निर्णय लेने के लिए उन वैल्यू का उपयोग करना चाहिए. ज़्यादा जानकारी के लिए, JWS और JWT की नीतियों के बारे में खास जानकारी देखें.

इस नीति के लागू होने पर Edge, JWT के हस्ताक्षर की पुष्टि करता है. साथ ही, यह भी पुष्टि करता है कि समयसीमा खत्म होने की तारीख के हिसाब से मान्य होगा. अगर वे मौजूद हैं, तो समय से पहले नहीं. यह नीति विकल्प के तौर पर, यह भी JWT पर विशिष्ट दावों के मानों की पुष्टि करता है, जैसे कि विषय, जारी करने वाला, ऑडियंस, या अतिरिक्त दावों का मूल्य.

अगर JWT की पुष्टि हो चुकी है और यह मान्य है, तो इसमें शामिल सभी दावे बाद की नीतियों या शर्तों के अनुसार इस्तेमाल करने के लिए कॉन्टेक्स्ट वैरिएबल में एक्सट्रैक्ट किया जाता है और अनुरोध किया जाता है को आगे बढ़ने की अनुमति है. यदि JWT हस्ताक्षर सत्यापित नहीं हो सकता या यदि JWT अमान्य है सिर्फ़ एक टाइमस्टैंप पर, सभी प्रोसेसिंग रुक जाती हैं और जवाब में एक गड़बड़ी दिखती है.

JWT के हिस्सों के बारे में जानने और उन्हें एन्क्रिप्ट करने और हस्ताक्षर करने का तरीका जानने के लिए, RFC7519 पर जाएं.

वीडियो

किसी JWT पर हस्ताक्षर की पुष्टि करने का तरीका जानने के लिए यह छोटा वीडियो देखें.

सैंपल

HS256 की मदद से साइन किए गए JWT की पुष्टि करना एल्गोरिदम

इस उदाहरण नीति में, JWT की पुष्टि की गई है, जिसे HS256 एन्क्रिप्शन एल्गोरिदम, HMAC की मदद से साइन किया गया था SHA-256 चेकसम का इस्तेमाल करके. JWT को jwt. कुंजी private.secretkey नाम वाले वैरिएबल में मौजूद होती है. पूरा उदाहरण देखने के लिए ऊपर दिया गया वीडियो देखें. इसमें नीति के लिए अनुरोध करने का तरीका भी बताया गया है.

नीति के कॉन्फ़िगरेशन में वह जानकारी शामिल होती है जिसकी ज़रूरत Edge को JWT को डिकोड करने और उसका आकलन करने के लिए होती है, जैसे, JWT कहां मिलेगा (सोर्स एलिमेंट में दिए गए फ़्लो वैरिएबल में), ज़रूरी है साइनिंग एल्गोरिदम, जहां सीक्रेट कुंजी मिलेगी (इसे Edge फ़्लो वैरिएबल में स्टोर किया जाता है, जो उदाहरण के लिए, Edge KVM से लिया गया है और ज़रूरी दावों का सेट और उनके वैल्यू.

<VerifyJWT name="JWT-Verify-HS256">
    <DisplayName>JWT Verify HS256</DisplayName>
    <Algorithm>HS256</Algorithm>
    <Source>request.formparam.jwt</Source>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <SecretKey encoding="base64">
        <Value ref="private.secretkey"/>
    </SecretKey>
    <Subject>monty-pythons-flying-circus</Subject>
    <Issuer>urn://apigee-edge-JWT-policy-test</Issuer>
    <Audience>fans</Audience>
    <AdditionalClaims>
        <Claim name="show">And now for something completely different.</Claim>
    </AdditionalClaims>
</VerifyJWT>

यह नीति अपने आउटपुट को कॉन्टेक्स्ट वैरिएबल में लिखती है, ताकि बाद में लागू होने वाली नीतियां या शर्तें एपीआई प्रॉक्सी में उन वैल्यू की जांच कर सकता है. फ़्लो वैरिएबल की सूची देख सकते हैं.

RS256 की मदद से साइन किए गए JWT की पुष्टि करना एल्गोरिदम

यह उदाहरण नीति, उस JWT की पुष्टि करती है जिसे RS256 एल्गोरिदम की मदद से साइन किया गया था. पुष्टि करने के लिए, आपको सार्वजनिक पासकोड देना होगा. फ़ॉर्म पैरामीटर का इस्तेमाल करके, प्रॉक्सी अनुरोध में JWT पास किया जाता है jwt नाम दिया गया. सार्वजनिक पासकोड, public.publickey नाम वाले वैरिएबल में मौजूद होता है. पूरा उदाहरण देखने के लिए ऊपर दिया गया वीडियो देखें. इसमें नीति के लिए अनुरोध करने का तरीका भी बताया गया है.

इस एलिमेंट में मौजूद हर एलिमेंट की शर्तों और विकल्पों के बारे में जानने के लिए, एलिमेंट का रेफ़रंस देखें नीति का नमूना.

<VerifyJWT name="JWT-Verify-RS256">
    <Algorithm>RS256</Algorithm>
    <Source>request.formparam.jwt</Source>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <PublicKey>
        <Value ref="public.publickey"/>
    </PublicKey>
    <Subject>apigee-seattle-hatrack-montage</Subject>
    <Issuer>urn://apigee-edge-JWT-policy-test</Issuer>
    <Audience>urn://c60511c0-12a2-473c-80fd-42528eb65a6a</Audience>
    <AdditionalClaims>
        <Claim name="show">And now for something completely different.</Claim>    
    </AdditionalClaims>
</VerifyJWT>

ऊपर दिए गए कॉन्फ़िगरेशन के लिए, इस हेडर वाला JWT ...

{
  "typ" : "JWT", 
  "alg" : "RS256"
}

और यह पेलोड ...

{ 
  "sub" : "apigee-seattle-hatrack-montage",
  "iss" : "urn://apigee-edge-JWT-policy-test",
  "aud" : "urn://c60511c0-12a2-473c-80fd-42528eb65a6a",
  "show": "And now for something completely different."
}

... यह तब मान्य माना जाएगा, जब हस्ताक्षर की पुष्टि करने के लिए, दिए गए फ़ॉर्म का इस्तेमाल किया जाएगा बटन दबाएं.

समान हेडर वाला एक JWT, लेकिन इस पेलोड के साथ ...

{ 
  "sub" : "monty-pythons-flying-circus",
  "iss" : "urn://apigee-edge-JWT-policy-test",
  "aud" : "urn://c60511c0-12a2-473c-80fd-42528eb65a6a",
  "show": "And now for something completely different."
}

... हस्ताक्षर की पुष्टि होने के बावजूद, यह मान लिया जाएगा कि यह अमान्य है. ऐसा इसलिए, क्योंकि "सदस्यता" JWT में शामिल दावा "विषय" के आवश्यक मान से मेल नहीं खाता इस रूप में एलिमेंट नीति कॉन्फ़िगरेशन में बताया गया है.

यह नीति अपने आउटपुट को कॉन्टेक्स्ट वैरिएबल में लिखती है, ताकि बाद में लागू होने वाली नीतियां या शर्तें एपीआई प्रॉक्सी में उन वैल्यू की जांच कर सकता है. फ़्लो वैरिएबल की सूची देख सकते हैं.

मुख्य एलिमेंट सेट करना

JWT की पुष्टि करने के लिए इस्तेमाल होने वाली कुंजी तय करने के लिए, चुने गए एल्गोरिदम पर निर्भर करता है जैसा कि नीचे दी गई टेबल में दिखाया गया है:

एल्‍गोरि‍दम खास एलिमेंट
एचएस* 
<SecretKey encoding="base16|hex|base64|base64url">
  <Value ref="private.secretkey"/>
</SecretKey>
सर्बियन दिनार*, स्पैनिश*, पीएस* 
<PublicKey>
  <Value ref="rsa_public_key_or_value"/>
</PublicKey>

या:

<PublicKey>
  <Certificate ref="signed_cert_val_ref"/>
</PublicKey>

या:

<PublicKey>
  <JWKS ref="jwks_val_or_ref"/>
</PublicKey>
*मुख्य शर्तों के बारे में ज़्यादा जानने के लिए, यहां जाएं हस्ताक्षर एन्क्रिप्ट करने के एल्गोरिदम के बारे में जानकारी.

एलिमेंट का रेफ़रंस

पॉलिसी रेफ़रंस में, पुष्टि करने के लिए JWT की नीति के एलिमेंट और एट्रिब्यूट के बारे में बताया गया है.

ध्यान दें: एन्क्रिप्ट (सुरक्षित) करने के तरीके के हिसाब से कॉन्फ़िगरेशन कुछ हद तक अलग होगा एल्गोरिदम का इस्तेमाल किया जाता है. यह दिखाने वाले उदाहरण देखने के लिए, सैंपल देखें कॉन्फ़िगरेशन.

एट्रिब्यूट जो टॉप लेवल एलिमेंट

<VerifyJWT name="JWT" continueOnError="false" enabled="true" async="false">

ये एट्रिब्यूट, नीति के सभी पैरंट एलिमेंट में एक जैसे होते हैं.

एट्रिब्यूट जानकारी डिफ़ॉल्ट मौजूदगी
नाम नीति का अंदरूनी नाम. नाम में इस्तेमाल किए जा सकने वाले वर्ण इन तक सीमित हैं: A-Z0-9._\-$ %. हालांकि, Edge मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) की मदद से पाबंदियां, जैसे कि अक्षर और अंक के अलावा किसी और वर्ण को अपने-आप हटाना.

विकल्प के तौर पर, <displayname></displayname> एलिमेंट का इस्तेमाल करके मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) के प्रॉक्सी एडिटर में, नीति को अलग और आम भाषा में लेबल करें नाम.

 लागू नहीं ज़रूरी है
continueOnError किसी नीति के काम न करने पर, गड़बड़ी दिखाने के लिए false पर सेट करें. यह उम्मीद है व्यवहार की जानकारी देने वाला डेटा.

नीति के लागू होने के बाद भी फ़्लो को एक्ज़ीक्यूट करने के लिए, इसे true पर सेट करें विफल होता है.

 गलत वैकल्पिक
चालू किया गया नीति को लागू करने के लिए, true पर सेट करें.

false को "बंद करें" पर सेट करें नीति के बारे में ज़्यादा जानें. नीति लागू नहीं की जाएगी भले ही वह किसी फ़्लो से जुड़ा हुआ हो.

 सही वैकल्पिक
एक साथ काम नहीं करने वाली प्रोसेस यह एट्रिब्यूट अब काम नहीं करता. गलत बहिष्कृत

&lt;DisplayName&gt;

<DisplayName>Policy Display Name</DisplayName>

मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) प्रॉक्सी एडिटर में नीति को लेबल करने के लिए, नाम एट्रिब्यूट के अलावा इस्तेमाल करें पर क्लिक करें.

डिफ़ॉल्ट अगर इस एलिमेंट को छोड़ा जाता है, तो नीति के नाम वाले एट्रिब्यूट की वैल्यू का इस्तेमाल किया जाता है.
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है स्ट्रिंग

&lt;Algorithm&gt;

<Algorithm>HS256</Algorithm>

इस नीति से, टोकन पर हस्ताक्षर करने के लिए, एन्क्रिप्ट (सुरक्षित) करने का एल्गोरिदम तय किया जाता है. RS*/PS*/ES* एल्गोरिदम, सार्वजनिक/सीक्रेट कुंजी का जोड़ा इस्तेमाल करते हैं, जबकि HS* एल्गोरिदम एक ही रहस्य का इस्तेमाल करते हैं. यह भी देखें हस्ताक्षर को एन्क्रिप्ट (सुरक्षित) करने के एल्गोरिदम के बारे में जानकारी.

एक से ज़्यादा वैल्यू दी जा सकती हैं और उन्हें कॉमा लगाकर अलग किया जा सकता है. उदाहरण के लिए "HS256, HS512" या "RS256, PS256" शामिल न करें. हालांकि, आप एचएस* एल्गोरिदम को किसी दूसरे के साथ या ES* एल्गोरिदम को किसी दूसरे के साथ नहीं मिला सकते, क्योंकि वे एक खास तरह की कुंजी होनी चाहिए. RS* और PS* एल्गोरिदम को एक साथ जोड़ा जा सकता है.

डिफ़ॉल्ट लागू नहीं
मौजूदगी ज़रूरी है
स्ट्रीम किस तरह की है कॉमा लगाकर अलग की गई वैल्यू की स्ट्रिंग
मान्य वैल्यू एचएस256, एचएस384, एचएस512, आरएस256, आरएस384, आरएस512, ES256, ES384, ES512, PS256, PS384, PS512

&lt;Audience&gt;

<Audience>audience-here</Audience>

or:

<Audience ref='variable-name-here'/>

नीति इस बात की पुष्टि करती है कि JWT में ऑडियंस का दावा, कॉन्फ़िगरेशन. कोई भी मैच न होने पर, नीति के तहत गड़बड़ी दिखती है. इस दावे से पाने वाले वे लोग जो JWT के लिए हैं. यह यहां बताए गए दावों में से एक है RFC7519.

डिफ़ॉल्ट लागू नहीं
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है स्ट्रिंग
मान्य वैल्यू ऑडियंस की पहचान करने वाला फ़्लो वैरिएबल या स्ट्रिंग.

&lt;AdditionalClaims/Claim&gt;

<AdditionalClaims>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
 </AdditionalClaims>

or:

<AdditionalClaims ref='claim_payload'/>

पुष्टि करता है कि JWT पेलोड में बताया गया अतिरिक्त दावा है/किए गए हैं. साथ ही, यह भी पुष्टि की जाती है कि दावा किए गए दावे की वैल्यू मैच हो रही हैं.

एक अतिरिक्त दावा किसी ऐसे नाम का इस्तेमाल करता है जो सामान्य, रजिस्टर किए गए JWT दावा नामों में से एक नहीं है. किसी अतिरिक्त दावे की वैल्यू कोई स्ट्रिंग, संख्या, बूलियन, मैप या अरे हो सकती है. मैप नाम/वैल्यू पेयर का सेट होता है. इनमें से किसी भी तरह के दावे के लिए, वैल्यू सेट की जा सकती है नीति कॉन्फ़िगरेशन में या किसी फ़्लो वैरिएबल के रेफ़रंस के ज़रिए साफ़ तौर पर बताया गया हो.

डिफ़ॉल्ट लागू नहीं
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है स्ट्रिंग, संख्या, बूलियन या मैप
कलेक्शन true पर सेट करके बताएं कि वैल्यू, अलग-अलग तरह के कलेक्शन में से कोई एक है. डिफ़ॉल्ट: असत्य
मान्य वैल्यू कोई भी वैल्यू, जिसका इस्तेमाल आपको दूसरे दावे के लिए करना है.

<Claim> एलिमेंट में ये एट्रिब्यूट इस्तेमाल किए जाते हैं:

  • name - (ज़रूरी है) दावे का नाम.
  • ref - (ज़रूरी नहीं) फ़्लो वैरिएबल का नाम. अगर यह वैल्यू मौजूद है, तो नीति इस वैल्यू का इस्तेमाल करेगी दावे के तौर पर इस्तेमाल किया जा सकता है. अगर ref एट्रिब्यूट और किसी साफ़ दावे की वैल्यू, दोनों के बारे में बताया गया है, तो एक्सप्लिसिट वैल्यू डिफ़ॉल्ट होती है. इसका इस्तेमाल तब किया जाता है, जब रेफ़रंस फ़्लो वैरिएबल से समस्या हल न हो.
  • type - (ज़रूरी नहीं) इनमें से कोई एक: स्ट्रिंग (डिफ़ॉल्ट), संख्या, बूलियन या मैप
  • array - (ज़रूरी नहीं) true पर सेट करके बताएं कि वैल्यू, अलग-अलग टाइप के कलेक्शन में से एक है या नहीं. डिफ़ॉल्ट: गलत.

<Claim> एलिमेंट शामिल करने पर, दावों के नाम स्टैटिक रूप से सेट होते हैं. ऐसा तब होता है, जब नीति को कॉन्फ़िगर करें. इसके अलावा, दावों के नाम बताने के लिए, JSON ऑब्जेक्ट पास किया जा सकता है. JSON ऑब्जेक्ट को वैरिएबल के तौर पर पास किया जाता है, इसलिए दावे के नाम रनटाइम के दौरान तय होते हैं.

उदाहरण के लिए:

<AdditionalClaims ref='json_claims'/>

जहां वैरिएबल json_claims में फ़ॉर्म में JSON ऑब्जेक्ट होता है:

{
  "sub" : "person@example.com",
  "iss" : "urn://secure-issuer@example.com",
  "non-registered-claim" : {
    "This-is-a-thing" : 817,
    "https://example.com/foobar" : { "p": 42, "q": false }
  }
}

&lt;AdditionalHeaders/Claim&gt;

<AdditionalHeaders>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
    <Claim name='claim4' ref='variable-name' type='string' array='true'/>
 </AdditionalHeaders>

यह पुष्टि करता है कि JWT हेडर में, दावे का बताया गया अतिरिक्त नाम/वैल्यू पेयर शामिल है. साथ ही, यह भी पुष्टि की जाती है कि दावा किए गए दावे की वैल्यू आपस में मेल खाती हैं.

अतिरिक्त दावे में ऐसे नाम का इस्तेमाल किया जाता है जो JWT के सामान्य और रजिस्टर किए गए दावों में शामिल नहीं होता. किसी दूसरे दावे की वैल्यू कोई स्ट्रिंग, संख्या, बूलियन, मैप या अरे हो सकती है. मैप नाम/वैल्यू पेयर का सेट होता है. इनमें से किसी भी तरह के दावे के लिए, वैल्यू सेट की जा सकती है नीति कॉन्फ़िगरेशन में या किसी फ़्लो वैरिएबल के रेफ़रंस के ज़रिए साफ़ तौर पर बताया गया हो.

डिफ़ॉल्ट लागू नहीं
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है

स्ट्रिंग (डिफ़ॉल्ट), संख्या, बूलियन या मैप.

अगर कोई टाइप तय नहीं किया गया है, तो स्ट्रिंग का टाइप डिफ़ॉल्ट रूप से स्ट्रिंग पर सेट होता है.
कलेक्शन true पर सेट करके बताएं कि वैल्यू, अलग-अलग तरह के कलेक्शन में से कोई एक है. डिफ़ॉल्ट: असत्य
मान्य वैल्यू कोई भी वैल्यू, जिसका इस्तेमाल आपको दूसरे दावे के लिए करना है.

<Claim> एलिमेंट में ये एट्रिब्यूट इस्तेमाल किए जाते हैं:

  • name - (ज़रूरी है) दावे का नाम.
  • ref - (ज़रूरी नहीं) फ़्लो वैरिएबल का नाम. अगर यह वैल्यू मौजूद है, तो नीति इस वैल्यू का इस्तेमाल करेगी दावे के तौर पर इस्तेमाल किया जा सकता है. अगर ref एट्रिब्यूट और किसी साफ़ दावे की वैल्यू, दोनों के बारे में बताया गया है, तो एक्सप्लिसिट वैल्यू डिफ़ॉल्ट होती है. इसका इस्तेमाल तब किया जाता है, जब रेफ़रंस फ़्लो वैरिएबल से समस्या हल न हो.
  • type - (ज़रूरी नहीं) इनमें से कोई एक: स्ट्रिंग (डिफ़ॉल्ट), संख्या, बूलियन या मैप
  • array - (ज़रूरी नहीं) true पर सेट करके बताएं कि वैल्यू, अलग-अलग टाइप के कलेक्शन में से एक है या नहीं. डिफ़ॉल्ट: गलत.

&lt;CustomClaims&gt;

ध्यान दें: फ़िलहाल, जब कोई नया कस्टम दावा जोड़ा जाता है, तो एक कस्टम दावे वाला एलिमेंट डाला जाता है यूज़र इंटरफ़ेस (यूआई) की मदद से, JWT नीति जनरेट करें. यह एलिमेंट काम नहीं कर रहा है और इसे अनदेखा कर दिया गया है. सही जवाब इसके बजाय &lt;AdditionalClaims&gt; एलिमेंट का इस्तेमाल किया जाएगा. यूज़र इंटरफ़ेस (यूआई) को बाद में सही एलिमेंट शामिल करने के लिए अपडेट किया जाएगा.

&lt;Id&gt;

<Id>explicit-jti-value-here</Id>
 -or-
<Id ref='variable-name-here'/>
 -or-
<Id/>

यह पुष्टि करता है कि JWT के पास खास jti दावा है. जब टेक्स्ट वैल्यू और रेफ़रंस दोनों एट्रिब्यूट खाली हैं, तो यह नीति रैंडम यूयूआईडी वाली जेटीआई जनरेट करेगी. JWT आईडी (jti) दावा, JWT के लिए एक यूनीक आइडेंटिफ़ायर होता है. जेटीआई के बारे में ज़्यादा जानकारी के लिए, RFC7519 देखें.

डिफ़ॉल्ट लागू नहीं
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है स्ट्रिंग या रेफ़रंस.
मान्य वैल्यू एक स्ट्रिंग या आईडी वाले फ़्लो वैरिएबल का नाम.

&lt;IgnoreCriticalHeaders&gt;

<IgnoreCriticalHeaders>true|false</IgnoreCriticalHeaders>

अगर आप चाहते हैं कि नीति की वजह से, 'गलत' पर सेट हो, तो JWT का crit हेडर, <KnownHeaders> एलिमेंट में शामिल नहीं है. 'सही' पर सेट करें, ताकि VerifyJWT नीति crit हेडर को अनदेखा कर सके.

इस एलिमेंट को सही पर सेट करने की एक वजह यह है कि अगर आप टेस्टिंग एनवायरमेंट में हैं और आपने अब तक छूटी हुई हेडर की गड़बड़ी को ठीक करने के लिए तैयार है.

डिफ़ॉल्ट गलत
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है बूलियन
मान्य वैल्यू सही या गलत

&lt;IgnoreIssuedAt&gt;

<IgnoreIssuedAt>true|false</IgnoreIssuedAt>

अगर आप चाहते हैं कि जब किसी JWT में iat (जारी करने की तारीख) से जुड़ा दावा, जिसमें आने वाले समय के बारे में बताया गया है. 'सही है' पर सेट करें, ताकि पुष्टि के दौरान नीति, iat को अनदेखा कर सके.

डिफ़ॉल्ट गलत
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है बूलियन
मान्य वैल्यू सही या गलत

&lt;IgnoreUnresolvedVariables&gt;

<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>

अगर आपको किसी रेफ़रंस वैरिएबल के बताए जाने पर, नीति से गड़बड़ी की सूचना देनी है, तो 'गलत' पर सेट करें हल नहीं किया जा सकता. किसी भी रिज़ॉल्व नहीं किए जा सकने वाले वैरिएबल को खाली स्ट्रिंग के तौर पर ट्रीट करने के लिए, 'सही' पर सेट करें (शून्य).

डिफ़ॉल्ट गलत
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है बूलियन
मान्य वैल्यू सही या गलत

&lt;Issuer&gt;

<Issuer ref='variable-name-here'/>
<Issuer>issuer-string-here</Issuer>

नीति इस बात की पुष्टि करती है कि JWT में, जारी करने वाला कॉन्फ़िगरेशन एलिमेंट होना चाहिए. ऐसा दावा जिससे JWT जारी करने वाले की पहचान की जाती है. यह इनमें से एक है RFC7519 में बताए गए, रजिस्टर किए गए दावों का सेट.

डिफ़ॉल्ट लागू नहीं
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है स्ट्रिंग या रेफ़रंस
मान्य वैल्यू कोई भी

&lt;KnownHeaders&gt;

<KnownHeaders>a,b,c</KnownHeaders>

or:

<KnownHeaders ref=variable_containing_headers/>

जनरेट की गई एपीआई की जानकारी को पॉप्युलेट करने के लिए, GenerateJWT नीति <CriticalHeaders> एलिमेंट का इस्तेमाल करती है किसी JWT में crit हेडर. उदाहरण के लिए:

{
  “typ: “...”,
  “alg” : “...”,
  “crit” : [ “a”, “b”, “c” ],
}

VerifyJWT नीति, JWT में मौजूद crit हेडर की जांच करती है. साथ ही, यह भी जांच करती है कि क्या यह सूची सूची में मौजूद हर हेडर के लिए सही है जांच करता है कि <KnownHeaders> एलिमेंट में वह हेडर भी शामिल है या नहीं. कॉन्टेंट बनाने <KnownHeaders> एलिमेंट में crit में दिए गए आइटम का सुपरसेट शामिल हो सकता है. केवल यह आवश्यक है कि crit में सूचीबद्ध सभी हेडर <KnownHeaders> एलिमेंट. ऐसा कोई भी हेडर जो नीति को crit में मिलता है जिसकी जानकारी <KnownHeaders> में भी नहीं दी गई है उसकी वजह से VerifyJWT नीति काम नहीं कर पाती है.

इसके अलावा, crit हेडर को अनदेखा करने के लिए, VerifyJWT नीति को कॉन्फ़िगर किया जा सकता है <IgnoreCriticalHeaders> एलिमेंट को true पर सेट करना.

डिफ़ॉल्ट लागू नहीं
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है कॉमा से अलग की गई स्ट्रिंग का अरे
मान्य वैल्यू कोई अरे या अरे वाले वैरिएबल का नाम.

&lt;PublicKey/Certificate&gt;

<PublicKey>
   <Certificate ref="signed_public.cert"/>
</PublicKey>
-or-
<PublicKey>
    <Certificate>
    -----BEGIN CERTIFICATE-----
    cert data
    -----END CERTIFICATE-----
    </Certificate>
</PublicKey>

JWT पर हस्ताक्षर की पुष्टि करने के लिए इस्तेमाल किया जाने वाला साइन किया गया सर्टिफ़िकेट तय करता है. रेफ़रंस एट्रिब्यूट का इस्तेमाल करके हस्ताक्षर किए गए सर्टिफ़िकेट को किसी फ़्लो वैरिएबल में पास करें या PEM कोड में बदले गए सर्टिफ़िकेट को सीधे तौर पर सेट करें. इसका इस्तेमाल सिर्फ़ तब करें, जब एल्गोरिदम RS256/RS384/RS512, PS256/PS384/PS512 या ES256/ES384/ES512 में से कोई एक हो.

डिफ़ॉल्ट लागू नहीं
मौजूदगी आरएसए एल्गोरिदम से साइन किए गए JWT की पुष्टि करने के लिए, आपको या तो सर्टिफ़िकेट, JWKS या वैल्यू एलिमेंट.
स्ट्रीम किस तरह की है स्ट्रिंग
मान्य वैल्यू फ़्लो वैरिएबल या स्ट्रिंग.

&lt;PublicKey/JWKS&gt;

<!-- Specify the JWKS. -->
<PublicKey>
   <JWKS>jwks-value-here</JWKS>
</PublicKey>

or:

<!-- Specify a variable containing the JWKS. -->
<PublicKey>
   <JWKS ref="public.jwks"/>
</PublicKey>

or:

<!-- Specify a public URL that returns the JWKS.
The URL is static, meaning you cannot set it using a variable. -->
<PublicKey>
   <JWKS uri="jwks-url"/>
</PublicKey>

JWKS फ़ॉर्मैट (RFC 7517) में वैल्यू दिखाता है जिसमें सार्वजनिक पासकोड का सेट शामिल होता है. सिर्फ़ तब इस्तेमाल करें, जब एल्गोरिदम RS256/RS384/RS512 में से कोई एक हो, PS256/PS384/PS512 या ES256/ES384/ES512.

यदि इनबाउंड JWT एक कुंजी आईडी देता है जो JWKS के लिए सेट किया गया है, तो JWT हस्ताक्षर की पुष्टि करने के लिए, नीति सही सार्वजनिक पासकोड का इस्तेमाल करेगी. विवरण के लिए इस सुविधा के बारे में ज़्यादा जानने के लिए, JWT की पुष्टि करने के लिए, JSON Web Key सेट (JWKS) का इस्तेमाल करना.

अगर किसी सार्वजनिक यूआरएल से वैल्यू फ़ेच की जाती है, तो Edge 300 सेकंड के लिए JWKS को कैश मेमोरी में सेव करता है. कैश मेमोरी की समयसीमा खत्म होने पर, Edge फिर से JWKS फ़ेच कर लेता है.

डिफ़ॉल्ट लागू नहीं
मौजूदगी आरएसए एल्गोरिदम की मदद से JWT की पुष्टि करने के लिए, आपको या तो सर्टिफ़िकेट, JWKS या मान एलिमेंट.
स्ट्रीम किस तरह की है स्ट्रिंग
मान्य वैल्यू फ़्लो वैरिएबल, स्ट्रिंग की वैल्यू या यूआरएल.

&lt;PublicKey/Value&gt;

<PublicKey>
   <Value ref="public.publickeyorcert"/>
</PublicKey>
-or-
<PublicKey>
    <Value>
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAw2kPrRzcufvUNHvTH/WW
    Q0UrCw5c0+Y707KX3PpXkZGbtTT4nvU1jC0d1lHV8MfUyRXmpmnNxJHAC2F73IyN
    C5TBtXMORc+us7A2cTtC4gZV256bT4h3sIEMsDl0Joz9K9MPzVPFxa1i0RgNt06n
    Xn/Bs2UbbLlKP5Q1HPxewUDEh0gVMqz9wdIGwH1pPxKvd3NltYGfPsUQovlof3l2
    ALvO7i5Yrm96kknfFEWf1EjmCCKvz2vjVbBb6mp1ZpYfc9MOTZVpQcXSbzb/BWUo
    ZmkDb/DRW5onclGzxQITBFP3S6JXd4LNESJcTp705ec1cQ9Wp2Kl+nKrKyv1E5Xx
    DQIDAQAB
    -----END PUBLIC KEY-----
    </Value>
</PublicKey>

यह जेडब्लयूटी पर हस्ताक्षर की पुष्टि करने के लिए इस्तेमाल किया जाने वाला सार्वजनिक पासकोड या सार्वजनिक सर्टिफ़िकेट बताता है. रेफ़रंस एट्रिब्यूट का इस्तेमाल करके कुंजी/सर्ट को किसी फ़्लो वैरिएबल में पास करें या सीधे PEM-कोड में बदली गई कुंजी बताएं. सिर्फ़ तब इस्तेमाल करें, जब एल्गोरिदम, RS256/RS384/RS512, PS256/PS384/PS512 या ES256/ES384/ES512 में से कोई एक है.

डिफ़ॉल्ट लागू नहीं
मौजूदगी आरएसए एल्गोरिदम से साइन किए गए JWT की पुष्टि करने के लिए, आपको या तो सर्टिफ़िकेट, JWKS या वैल्यू एलिमेंट.
स्ट्रीम किस तरह की है स्ट्रिंग
मान्य वैल्यू फ़्लो वैरिएबल या स्ट्रिंग.

&lt;SecretKey/Value&gt;

<SecretKey encoding="base16|hex|base64|base64url">
  <Value ref="private.your-variable-name"/>
</SecretKey>

यह नीति एचएमएसी एल्गोरिदम की मदद से, टोकन की पुष्टि करने या उन पर हस्ताक्षर करने के लिए इस्तेमाल की जाने वाली सीक्रेट कुंजी देती है. सिर्फ़ इस्तेमाल के लिए जब एल्गोरिदम HS256, HS384, HS512 में से कोई एक हो.

डिफ़ॉल्ट लागू नहीं
मौजूदगी HMAC एल्गोरिदम के लिए ज़रूरी है.
स्ट्रीम किस तरह की है स्ट्रिंग
मान्य वैल्यू

encoding के लिए मान्य वैल्यू इस तरह हैं: hex, base16, base64, या base64url. कोड में बदलने के तरीके में दी गई वैल्यू hex और base16 एक जैसे हैं.

ref एट्रिब्यूट का इस्तेमाल करना का इस्तेमाल करें.

ध्यान दें: अगर फ़्लो वैरिएबल है, तो उसका प्रीफ़िक्स "निजी" होना चाहिए. उदाहरण के लिए, private.mysecret अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है

&lt;Source&gt;

<Source>jwt-variable</Source>

अगर यह मौजूद है, तो यह उस फ़्लो वैरिएबल को तय करता है जिसमें नीति, JWT को पुष्टि करें.

डिफ़ॉल्ट request.header.authorization (अहम जानकारी के लिए ऊपर दिया गया नोट देखें डिफ़ॉल्ट के बारे में जानकारी).
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है स्ट्रिंग
मान्य वैल्यू एज फ़्लो वैरिएबल का नाम.

&lt;Subject&gt;

<Subject>subject-string-here</Subject>

नीति इस बात की पुष्टि करती है कि JWT में मौजूद विषय, नीति में बताई गई स्ट्रिंग से मेल खाता है या नहीं कॉन्फ़िगरेशन. यह दावा, JWT के विषय की पहचान करता है या उसके बारे में जानकारी देता है. यह है यह RFC7519 में बताए गए दावों के मानक सेट में से एक है.

डिफ़ॉल्ट लागू नहीं
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है स्ट्रिंग
मान्य वैल्यू कोई भी वैल्यू, जिससे किसी विषय की खास तौर पर पहचान होती है.

&lt;TimeAllowance&gt;

<TimeAllowance>120s</TimeAllowance>

"ग्रेस पीरियड" समय की पाबंदी है. उदाहरण के लिए, अगर समयसीमा को 60 सेकंड के लिए कॉन्फ़िगर किया गया है, तो दावा की गई समयसीमा खत्म होने के बाद, 60 सेकंड तक यह जेडब्लयूटी मान्य माना जाएगा. कॉन्टेंट बनाने इसका आकलन उसी तरह से किया जाएगा जैसा कि 'पहले के समय' के मुताबिक नहीं किया गया था. डिफ़ॉल्ट तौर पर, यह अवधि 0 सेकंड पर सेट होती है (कोई ग्रेस पीरियड नहीं).

डिफ़ॉल्ट 0 सेकंड (कोई ग्रेस पीरियड नहीं)
मौजूदगी वैकल्पिक
स्ट्रीम किस तरह की है स्ट्रिंग
मान्य वैल्यू कोई वैल्यू या ऐसे फ़्लो वैरिएबल का रेफ़रंस जिसमें वैल्यू मौजूद होती है. समयावधि नीचे बताए गए तरीके से बताया गया है:
  • s = सेकंड
  • मी॰ = मिनट
  • h = घंटे
  • d = दिन

फ़्लो वैरिएबल

कामयाब होने पर, Verify JWT और Decode JWT की नीतियां सेट हो जाती हैं इस पैटर्न के अनुसार कॉन्टेक्स्ट वैरिएबल:

jwt.{policy_name}.{variable_name}

उदाहरण के लिए, अगर नीति का नाम jwt-parse-token है , तो नीति सेव हो जाएगी JWT में, jwt.jwt-parse-token.decoded.claim.sub नाम के कॉन्टेक्स्ट वैरिएबल में विषय के बारे में बताया गया है. (पुराने सिस्टम के साथ काम करने की सुविधा के लिए, यह jwt.jwt-parse-token.claim.subject में भी उपलब्ध होगी)

वैरिएबल का नाम ब्यौरा
claim.audience JWT ऑडियंस का दावा. यह वैल्यू, कोई स्ट्रिंग या स्ट्रिंग का कलेक्शन हो सकता है.
claim.expiry समयसीमा खत्म होने की तारीख/समय, जिसे Epoch के बाद मिलीसेकंड में दिखाया जाता है.
claim.issuedat टोकन जारी किए जाने की तारीख, जो epoch के बाद मिलीसेकंड में बताई जाती है.
claim.issuer JWT जारी करने वाली कंपनी का दावा.
claim.notbefore अगर JWT में एक एनबीएफ़ दावा शामिल है, तो इस वैरिएबल में वैल्यू होगी, Epoch के बाद से मिलीसेकंड में व्यक्त किया जाता है.
claim.subject JWT के विषय से जुड़ा दावा.
claim.name पेलोड में नाम वाले दावे (स्टैंडर्ड या अतिरिक्त) की वैल्यू. इनमें से किसी एक को हर दावे को सुरक्षित रखें.
decoded.claim.name पेलोड में, नाम वाले दावे का JSON-पार्स करने लायक मान (स्टैंडर्ड या अतिरिक्त). इसके लिए एक वैरिएबल सेट किया गया है हर दावे को सुरक्षित रखें. उदाहरण के लिए, decoded.claim.iat का इस्तेमाल इन कामों के लिए किया जा सकता है JWT के जारी किए गए समय को फिर से प्राप्त किया जाता है, जिसे Epoch के बाद सेकंड में दिखाया जाता है. हालांकि, claim.name फ़्लो वैरिएबल का भी इस्तेमाल कर सकते हैं, जो दावे को ऐक्सेस करने के लिए, सुझाया गया वैरिएबल.
decoded.header.name पेलोड में हेडर का JSON-पार्स करने लायक मान. इसके लिए एक वैरिएबल सेट किया गया है हर हेडर को कॉपी करता है. हालांकि, आपके पास header.name फ़्लो वैरिएबल का इस्तेमाल करने का भी विकल्प है, हेडर को ऐक्सेस करने के लिए, इस वैरिएबल का इस्तेमाल करने का सुझाव दिया जाता है.
expiry_formatted ऐक्सेस खत्म होने की तारीख/समय, इस स्ट्रिंग का फ़ॉर्मैट ऐसा होता है जिसे कोई भी व्यक्ति आसानी से पढ़ सकता है. उदाहरणः 2017-09-28T21:30:45.000+0000
header.algorithm JWT पर इस्तेमाल किया जाने वाला साइनिंग एल्गोरिदम. उदाहरण के लिए, RS256, HS384 वगैरह. ज़्यादा जानकारी के लिए (Algorithm) हेडर पैरामीटर देखें.
header.kid कुंजी आईडी, अगर उसे JWT जनरेट करते समय जोड़ा जाता है. "JSON वेब कुंजी सेट का इस्तेमाल करना" भी देखें (JWKS)" JWT पर नीतियों की खास जानकारी का इस्तेमाल करें. ज़्यादा जानकारी के लिए (Key ID) हेडर पैरामीटर देखें.
header.type JWT पर सेट होगा.
header.name नाम वाले हेडर की वैल्यू (स्टैंडर्ड या अतिरिक्त). इनमें से किसी एक को JWT के हेडर वाले हिस्से में हर अतिरिक्त हेडर.
header-json JSON फ़ॉर्मैट में हेडर.
is_expired सही या गलत
payload-claim-names JWT के साथ काम करने वाले दावों का कलेक्शन.
payload-json
JSON फ़ॉर्मैट में पेलोड.
seconds_remaining टोकन की समय-सीमा खत्म होने से पहले सेकंड की संख्या. अगर टोकन की समयसीमा खत्म हो जाती है, तो संख्या ऋणात्मक होगी.
time_remaining_formatted टोकन की समयसीमा खत्म होने से पहले, बचा हुआ समय. इस फ़ॉर्मैट को ऐसे स्ट्रिंग के तौर पर फ़ॉर्मैट किया जाता है जिसे कोई भी व्यक्ति आसानी से पढ़ सकता है. उदाहरण: 00:59:59.926
valid VerifyJWT के मामले में, हस्ताक्षर की पुष्टि होने पर यह वैरिएबल सही होगा. साथ ही, मौजूदा समय, टोकन की समयसीमा खत्म होने से पहले का है. साथ ही, टोकन के बाद, अगर वे मौजूद हैं. नहीं तो गलत.

DecodeJWT के मामले में, यह वैरिएबल सेट नहीं होता.

गड़बड़ी का रेफ़रंस

This section describes the fault codes and error messages that are returned and fault variables that are set by Edge when this policy triggers an error. This information is important to know if you are developing fault rules to handle faults. To learn more, see What you need to know about policy errors and Handling faults.

Runtime errors

These errors can occur when the policy executes.

Fault code HTTP status Occurs when
steps.jwt.AlgorithmInTokenNotPresentInConfiguration 401 Occurs when the verification policy has multiple algorithms.
steps.jwt.AlgorithmMismatch 401 The algorithm specified in the Generate policy did not match the one expected in the Verify policy. The algorithms specified must match.
steps.jwt.FailedToDecode 401 The policy was unable to decode the JWT. The JWT is possibly corrupted.
steps.jwt.GenerationFailed 401 The policy was unable to generate the JWT.
steps.jwt.InsufficientKeyLength 401 For a key less than 32 bytes for the HS256 algorithm, less than 48 bytes for the HS386 algortithm, and less than 64 bytes for the HS512 algorithm.
steps.jwt.InvalidClaim 401 For a missing claim or claim mismatch, or a missing header or header mismatch.
steps.jwt.InvalidCurve 401 The curve specified by the key is not valid for the Elliptic Curve algorithm.
steps.jwt.InvalidJsonFormat 401 Invalid JSON found in the header or payload.
steps.jwt.InvalidToken 401 This error occurs when the JWT signature verification fails.
steps.jwt.JwtAudienceMismatch 401 The audience claim failed on token verification.
steps.jwt.JwtIssuerMismatch 401 The issuer claim failed on token verification.
steps.jwt.JwtSubjectMismatch 401 The subject claim failed on token verification.
steps.jwt.KeyIdMissing 401 The Verify policy uses a JWKS as a source for public keys, but the signed JWT does not include a kid property in the header.
steps.jwt.KeyParsingFailed 401 The public key could not be parsed from the given key information.
steps.jwt.NoAlgorithmFoundInHeader 401 Occurs when the JWT contains no algorithm header.
steps.jwt.NoMatchingPublicKey 401 The Verify policy uses a JWKS as a source for public keys, but the kid in the signed JWT is not listed in the JWKS.
steps.jwt.SigningFailed 401 In GenerateJWT, for a key less than the minimum size for the HS384 or HS512 algorithms
steps.jwt.TokenExpired 401 The policy attempts to verify an expired token.
steps.jwt.TokenNotYetValid 401 The token is not yet valid.
steps.jwt.UnhandledCriticalHeader 401 A header found by the Verify JWT policy in the crit header is not listed in KnownHeaders.
steps.jwt.UnknownException 401 An unknown exception occurred.
steps.jwt.WrongKeyType 401 Wrong type of key specified. For example, if you specify an RSA key for an Elliptic Curve algorithm, or a curve key for an RSA algorithm.

Deployment errors

These errors can occur when you deploy a proxy containing this policy.

Error name Cause Fix
InvalidNameForAdditionalClaim The deployment will fail if the claim used in the child element <Claim> of the <AdditionalClaims> element is one of the following registered names: kid, iss, sub, aud, iat, exp, nbf, or jti.
InvalidTypeForAdditionalClaim If the claim used in the child element <Claim> of the <AdditionalClaims> element is not of type string, number, boolean, or map, the deployment will fail.
MissingNameForAdditionalClaim If the name of the claim is not specified in the child element <Claim> of the <AdditionalClaims> element, the deployment will fail.
InvalidNameForAdditionalHeader This error ccurs when the name of the claim used in the child element <Claim> of the <AdditionalClaims> element is either alg or typ.
InvalidTypeForAdditionalHeader If the type of claim used in the child element <Claim> of the <AdditionalClaims> element is not of type string, number, boolean, or map, the deployment will fail.
InvalidValueOfArrayAttribute This error occurs when the value of the array attribute in the child element <Claim> of the <AdditionalClaims> element is not set to true or false.
InvalidValueForElement If the value specified in the <Algorithm> element is not a supported value, the deployment will fail.
MissingConfigurationElement This error will occur if the <PrivateKey> element is not used with RSA family algorithms or the <SecretKey> element is not used with HS Family algorithms.
InvalidKeyConfiguration If the child element <Value> is not defined in the <PrivateKey> or <SecretKey> elements, the deployment will fail.
EmptyElementForKeyConfiguration If the ref attribute of the child element <Value> of the <PrivateKey> or <SecretKey> elements is empty or unspecified, the deployment will fail.
InvalidConfigurationForVerify This error occurs if the <Id> element is defined within the <SecretKey> element.
InvalidEmptyElement This error occurs if the <Source> element of the Verify JWT policy is empty. If present, it must be defined with an Edge flow variable name.
InvalidPublicKeyValue If the value used in the child element <JWKS> of the <PublicKey> element does not use a valid format as specified in RFC 7517, the deployment will fail.
InvalidConfigurationForActionAndAlgorithm If the <PrivateKey> element is used with HS Family algorithms or the <SecretKey> element is used with RSA Family algorithms, the deployment will fail.

गड़बड़ी के वैरिएबल

रनटाइम की गड़बड़ी होने पर ये वैरिएबल सेट किए जाते हैं. ज़्यादा जानकारी के लिए, आपके लिए ज़रूरी जानकारी देखें नीति से जुड़ी गड़बड़ियों के बारे में जानकारी.

वैरिएबल कहां उदाहरण
fault.name="fault_name" fault_name गड़बड़ी का नाम है, जैसा कि ऊपर रनटाइम में गड़बड़ियां टेबल में बताया गया है. गड़बड़ी का नाम, गड़बड़ी के कोड का आखिरी हिस्सा होता है. fault.name Matches "TokenExpired"
JWT.failed कोई गड़बड़ी होने पर, JWT की सभी नीतियां एक ही वैरिएबल सेट करती हैं. JWT.failed = true

गड़बड़ी के रिस्पॉन्स का उदाहरण

JWT नीति फ़ॉल्ट कोड

गड़बड़ी ठीक करने के लिए, सबसे सही तरीका यह है कि गड़बड़ी के errorcode वाले हिस्से को छिपाया जाए जवाब. faultstring में मौजूद टेक्स्ट पर पूरी तरह भरोसा न करें, क्योंकि इससे बदलाव हो सकता है.

गड़बड़ी के नियम का उदाहरण

    <FaultRules>
        <FaultRule name="JWT Policy Errors">
            <Step>
                <Name>JavaScript-1</Name>
                <Condition>(fault.name Matches "TokenExpired")</Condition>
            </Step>
            <Condition>JWT.failed=true</Condition>
        </FaultRule>
    </FaultRules>