概要
クライアントやその他のシステムから受信した JWT の署名を検証します。また、このポリシーはクレームを抽出してコンテキスト変数に格納し、後続のポリシーまたは条件でそれらの値を調べて、認可やルーティングを決定できるようにします。詳しくは、JWS ポリシーと JWT ポリシーの概要をご覧ください。
このポリシーが実行されると、Edge は JWT の署名を検証し、有効期限と開始時期に基づいて JWT が有効であることを検証します。このポリシーは、必要に応じて subject や issuer、audience、追加クレームの値など、JWT の特定クレームの値を検証することもできます。
検証の結果 JWT が有効である場合、JWT に含まれるすべてのクレームが抽出されて後続のポリシーや条件で使用できるようにコンテキスト変数に格納され、リクエストの続行が許可されます。JWT の署名を検証できない場合、タイムスタンプが原因で JWT が無効となった場合、すべての処理が停止し、レスポンスでエラーが返されます。
JWT の各部について、またその暗号化と署名の方法については、RFC7519 をご覧ください。
動画
JWT の署名を検証する方法についての動画をご覧ください。
サンプル
HS256 アルゴリズムで署名された JWT の検証
このポリシー サンプルでは、HS256 暗号化アルゴリズム(SHA-256 チェックサムを使用した HMAC)で署名された JWT を検証します。JWT は、jwt という名前のフォーム パラメータを介してプロキシ リクエスト内で渡されます。キーは private.secretkey という名前の変数に含まれています。ポリシーに対してリクエストする方法など、詳しい例については上記の動画をご覧ください。
ポリシーの構成には JWT のデコード(復号)と評価に必要な情報を含めます。たとえば、JWT の場所(Source 要素に指定されたフロー変数内)、検証に必要な署名アルゴリズム、秘密鍵の場所(Edge フロー変数に保存され、Edge KVM などから取得可能)、必要なクレームとその値のセットなどです。
<VerifyJWT name="JWT-Verify-HS256">
<DisplayName>JWT Verify HS256</DisplayName>
<Algorithm>HS256</Algorithm>
<Source>request.formparam.jwt</Source>
<IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
<SecretKey>
<Value ref="private.secretkey"/>
</SecretKey>
<Subject>monty-pythons-flying-circus</Subject>
<Issuer>urn://apigee-edge-JWT-policy-test</Issuer>
<Audience>fans</Audience>
<AdditionalClaims>
<Claim name="show">And now for something completely different.</Claim>
</AdditionalClaims>
</VerifyJWT>
ポリシーは出力をコンテキスト変数に書き込み、後続のポリシーまたは API プロキシの条件でその値を調べられるようにします。このポリシーの変数のリストについては、フロー変数をご覧ください。
RS256 アルゴリズムで署名された JWT の検証
このポリシー サンプルでは、RS256 アルゴリズムで署名された JWT を検証します。検証するには公開鍵を用意する必要があります。JWT は、jwt という名前のフォーム パラメータを介してプロキシ リクエスト内で渡されます。公開鍵は public.publickey という名前の変数に格納されます。ポリシーに対してリクエストする方法など、詳しい例については上記の動画をご覧ください。
このサンプル ポリシーの各要素に関する要件とオプションについて詳しくは、要素リファレンスをご覧ください。
<VerifyJWT name="JWT-Verify-RS256">
<Algorithm>RS256</Algorithm>
<Source>request.formparam.jwt</Source>
<IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
<PublicKey>
<Value ref="public.publickey"/>
</PublicKey>
<Subject>apigee-seattle-hatrack-montage</Subject>
<Issuer>urn://apigee-edge-JWT-policy-test</Issuer>
<Audience>urn://c60511c0-12a2-473c-80fd-42528eb65a6a</Audience>
<AdditionalClaims>
<Claim name="show">And now for something completely different.</Claim>
</AdditionalClaims>
</VerifyJWT>
上記のポリシー構成に対し、JWT が以下のヘッダーを含み、
{
"typ" : "JWT",
"alg" : "RS256"
}
かつ以下のペイロードを含む場合、
{
"sub" : "apigee-seattle-hatrack-montage",
"iss" : "urn://apigee-edge-JWT-policy-test",
"aud" : "urn://c60511c0-12a2-473c-80fd-42528eb65a6a",
"show": "And now for something completely different."
}
指定された公開鍵で署名を検証できれば、この JWT は有効とみなされます。
上記と同じヘッダーで以下のペイロードを含む JWT の場合、
{
"sub" : "monty-pythons-flying-circus",
"iss" : "urn://apigee-edge-JWT-policy-test",
"aud" : "urn://c60511c0-12a2-473c-80fd-42528eb65a6a",
"show": "And now for something completely different."
}
JWT に含まれる sub クレームが、ポリシー構成で指定された Subject 要素の必須値と一致しないため、署名が検証可能であっても無効と判断されます。
ポリシーは出力をコンテキスト変数に書き込み、後続のポリシーまたは API プロキシの条件でその値を調べられるようにします。このポリシーの変数のリストについては、フロー変数をご覧ください。
鍵要素の設定
JWT の検証に使用する鍵の指定に使用する要素は、次の表に示すように選択したアルゴリズムによって異なります。
| アルゴリズム | 鍵要素 | |
|---|---|---|
| HS* |
<SecretKey> <Value ref="private.secretkey"/> </SecretKey> |
|
| RS*、ES*、PS* | <PublicKey> <Value ref="rsa_public_key_or_value"/> </PublicKey> または <PublicKey> <Certificate ref="signed_cert_val_ref"/> </PublicKey> または <PublicKey> <JWKS ref="jwks_val_or_ref"/> </PublicKey> |
|
| * 鍵の要件について詳しくは、署名暗号アルゴリズムについてをご覧ください。 | ||
要素リファレンス
このポリシー リファレンスでは、Verify JWT ポリシーの要素と属性について説明します。
注: 構成は使用する暗号化アルゴリズムにより異なります。特定のユースケースの構成例については、サンプルをご覧ください。
最上位の要素に適用される属性
<VerifyJWT name="JWT" continueOnError="false" enabled="true" async="false">
次の属性は、すべてのポリシーの親要素に共通です。
| 属性 | 説明 | デフォルト | 要否 |
|---|---|---|---|
| 名前 |
ポリシーの内部名。名前に使用できる文字は、A-Z0-9._\-$ % のみです。ただし、Edge 管理 UI では、英数字以外の文字を自動的に削除するなど、追加の制限が適用されます。必要に応じて、 |
なし | 必須 |
| continueOnError |
ポリシーが失敗した場合にエラーを返すには、false に設定します。これはほとんどのポリシーで想定される動作です。ポリシーが失敗した後もフローの実行を続行する場合は、 |
false | 省略可 |
| enabled | ポリシーを適用するには true に設定します。ポリシーを「turn off」するには、 |
true | 省略可 |
| async | この属性は非推奨となりました。 | false | 非推奨 |
<DisplayName>
<DisplayName>Policy Display Name</DisplayName>
name 属性に加えて、管理 UI プロキシ エディタのポリシーに別の自然言語名でラベルを付けるために使います。
| デフォルト | この要素を省略した場合、ポリシーの name 属性の値が使用されます。 |
| 要否 | 省略可 |
| 型 | 文字列 |
<Algorithm>
<Algorithm>HS256</Algorithm>
トークンに署名する暗号化アルゴリズムを指定します。RS*、PS*、ES* の各アルゴリズムでは公開鍵 / 秘密鍵ペアを使用し、HS* アルゴリズムでは共有シークレットを使用します。署名暗号化アルゴリズムについてもご覧ください。
複数の値をカンマで区切りながら指定できます。たとえば、「HS256, HS512」や「RS256, PS256」とします。ただし、HS* アルゴリズムとその他のアルゴリズム、または ES* アルゴリズムとその他のアルゴリズムを組み合わることはできません。必要な鍵の種類が異なるからです。RS* アルゴリズムと PS* アルゴリズムは組み合わせることができます。
| デフォルト | なし |
| 要否 | 必須 |
| 型 | カンマ区切り値の文字列 |
| 有効な値 | HS256、HS384、HS512、RS256、RS384、RS512、ES256、ES384、ES512、PS256、PS384、PS512 |
<Audience>
<Audience>audience-here</Audience> or: <Audience ref='variable-name-here'/>
このポリシーは、JWT の aud クレームがポリシー構成に指定された値と一致することを確認します。一致しない場合、ポリシーはエラーを返します。このクレームは、この JWT を受け取ると想定された対象を識別します。これは、RFC7519 に記載されている登録済みクレームの 1 つです。
| デフォルト | なし |
| 要否 | 省略可 |
| 型 | 文字列 |
| 有効な値 | 対象を識別するフロー変数または文字列 |
<AdditionalClaims/Claim>
<AdditionalClaims>
<Claim name='claim1'>explicit-value-of-claim-here</Claim>
<Claim name='claim2' ref='variable-name-here'/>
<Claim name='claim3' ref='variable-name-here' type='boolean'/>
</AdditionalClaims>
or:
<AdditionalClaims ref='claim_payload'/>
指定された追加クレームが JWT ペイロードに含まれていること、および表明されたクレーム値同士が一致することを検証します。
追加クレームには、標準 JWT クレーム名や登録済み JWT クレーム名以外の名前を使用します。追加クレームの値は、文字列、数値、ブール値、マッピング、または配列です。マッピングとは名前と値のペアのセットのことです。このタイプのクレーム値はポリシー構成で明示的に指定することも、フロー変数への参照を利用して間接的に指定することもできます。
| デフォルト | なし |
| 要否 | 省略可 |
| 型 | 文字列、数値、ブール値、マッピング |
| 配列 | (省略可)値が型の配列かどうかを示すには true に設定しますデフォルト: false |
| 有効な値 | 追加のクレームに使用する任意の値。 |
<Claim> 要素には次の属性があります。
- name -(必須)クレームの名前。
- ref -(省略可)フロー変数の名前。設定された場合、ポリシーはこの変数の値をクレームとして使用します。ref 属性と明示的なクレーム値が両方指定された場合、明示的な値がデフォルトとなり、参照されたフロー変数が解決されない場合に使用されます。
- type -(省略可)文字列(デフォルト)、数値、ブール値、マッピングのいずれか
- array -(省略可)値が型の配列かどうかを示すには true に設定します(デフォルトは false)。
<Claim> 要素を含める場合、クレーム名はポリシーの構成時に静的に設定します。あるいは、JSON オブジェクトを渡してクレーム名を指定することもできます。JSON オブジェクトは変数として渡されるため、クレーム名はランタイムに判定されます。
例:
<AdditionalClaims ref='json_claims'/>
ここで、変数 json_claims には次の形式の JSON オブジェクトが含まれます。
{
"sub" : "person@example.com",
"iss" : "urn://secure-issuer@example.com",
"non-registered-claim" : {
"This-is-a-thing" : 817,
"https://example.com/foobar" : { "p": 42, "q": false }
}
}
<AdditionalHeaders/Claim>
<AdditionalHeaders>
<Claim name='claim1'>explicit-value-of-claim-here</Claim>
<Claim name='claim2' ref='variable-name-here'/>
<Claim name='claim3' ref='variable-name-here' type='boolean'/>
<Claim name='claim4' ref='variable-name' type='string' array='true'/>
</AdditionalHeaders>
指定された追加クレームの名前と値のペアが JWT ヘッダーに含まれていること、および表明されたクレーム値同士が一致することを検証します。
追加クレームには、標準 JWT クレーム名や登録済み JWT クレーム名以外の名前を使用します。追加クレームの値は、文字列、数値、ブール値、マッピング、または配列です。マッピングとは名前と値のペアのセットのことです。このタイプのクレーム値はポリシー構成で明示的に指定することも、フロー変数への参照を利用して間接的に指定することもできます。
| デフォルト | なし |
| 要否 | 省略可 |
| 型 |
文字列(デフォルト)、数値、ブール値、マッピング 明示的に指定しない場合、デフォルトで文字列型になります。 |
| 配列 | (省略可)値が型の配列かどうかを示すには true に設定しますデフォルト: false |
| 有効な値 | 追加のクレームに使用する任意の値。 |
<Claim> 要素には次の属性があります。
- name -(必須)クレームの名前。
- ref -(省略可)フロー変数の名前。設定された場合、ポリシーはこの変数の値をクレームとして使用します。ref 属性と明示的なクレーム値が両方指定された場合、明示的な値がデフォルトとなり、参照されたフロー変数が解決されない場合に使用されます。
- type -(省略可)文字列(デフォルト)、数値、ブール値、マッピングのいずれか
- array -(省略可)値が型の配列かどうかを示すには true に設定します(デフォルトは false)。
<CustomClaims>
注: 現在、UI を使用して新しい GenerateJWT ポリシーを追加すると CustomClaims 要素が挿入されます。この要素は機能していないため無視されます。代わりに使用する要素は <AdditionalClaims> です。あとで正しい要素が挿入されるように UI が更新されます。
<Id>
<Id>explicit-jti-value-here</Id> -or- <Id ref='variable-name-here'/> -or- <Id/>
JWT に特定の jti クレームがあることを確認します。text 値と ref 属性が両方とも空白の場合、ポリシーはランダムな UUID を含む jti を生成します。JWT ID(jti)クレームは、JWT の一意の識別子です。jti について詳しくは、RFC7519 をご覧ください。
| デフォルト | なし |
| 要否 | 省略可 |
| 型 | 文字列または参照 |
| 有効な値 | 文字列または ID を含むフロー変数の名前 |
<IgnoreCriticalHeaders>
<IgnoreCriticalHeaders>true|false</IgnoreCriticalHeaders>
false に設定すると、JWT の crit ヘッダーにリストされたヘッダーの中に、<KnownHeaders> 要素のリストにないものがあった場合に、ポリシーがエラーを返します。true に設定すると、VerifyJWT ポリシーで crit ヘッダーが無視されます。
この要素を true に設定する状況の 1 つとして、テスト環境で、ヘッダー不足によるエラー発生に対する準備がまだできていない場合があります。
| デフォルト | false |
| 要否 | 省略可 |
| 型 | Boolean |
| 有効な値 | true または false |
<IgnoreIssuedAt>
<IgnoreIssuedAt>true|false</IgnoreIssuedAt>
false に設定すると(デフォルト)、未来の時刻を指定する iat(Issued at)クレームが JWT に含まれていた場合に、ポリシーがエラーを返します。true に設定すると、ポリシーが検証時に iat を無視します。
| デフォルト | false |
| 要否 | 省略可 |
| 型 | Boolean |
| 有効な値 | true または false |
<IgnoreUnresolvedVariables>
<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>
false に設定すると、ポリシーで指定された参照値が解決できない場合にエラーを返します。true に設定すると、解決できない変数を空の文字列(null)として扱います。
| デフォルト | false |
| 要否 | 省略可 |
| 型 | Boolean |
| 有効な値 | true または false |
<Issuer>
<Issuer ref='variable-name-here'/> <Issuer>issuer-string-here</Issuer>
このポリシーは、JWT の発行者がポリシー構成の要素に指定された文字列と一致することを検証します。JWT の発行者を識別するクレーム。RFC7519 に記載されている登録済みクレームの 1 つです。
| デフォルト | なし |
| 要否 | 省略可 |
| 型 | 文字列または参照 |
| 有効な値 | 任意 |
<KnownHeaders>
<KnownHeaders>a,b,c</KnownHeaders> or: <KnownHeaders ref=’variable_containing_headers’/>
GenerateJWT ポリシーは <CriticalHeaders> 要素を使用して、JWT 内の crit ヘッダーに情報を入力します。例:
{
“typ: “...”,
“alg” : “...”,
“crit” : [ “a”, “b”, “c” ],
}
VerifyJWT ポリシーは JWT で crit ヘッダーを調べ、存在する場合は、そこにリストされた各ヘッダーが <KnownHeaders> 要素にもリストされているかどうか確認します。<KnownHeaders> 要素は、crit にリストされた項目のスーパーセットを含むことができます。必要なことは、crit にリストされたすべてのヘッダーが <KnownHeaders> 要素にリストされていることです。ポリシーが crit で検出したヘッダーの中に <KnownHeaders> にリストされていないものがあると、VerifyJWT ポリシーは失敗します。
<IgnoreCriticalHeaders> 要素を true に設定することで、VerifyJWT ポリシーが crit ヘッダーを無視するよう構成することもできます。
| デフォルト | なし |
| 要否 | 省略可 |
| 型 | 文字列のカンマ区切り配列 |
| 有効な値 | 配列または配列を含む変数の名前 |
<PublicKey/Certificate>
<PublicKey>
<Certificate ref="signed_public.cert"/>
</PublicKey>
-or-
<PublicKey>
<Certificate>
-----BEGIN CERTIFICATE-----
cert data
-----END CERTIFICATE-----
</Certificate>
</PublicKey>
JWT 上の署名を検証するために使用される署名済み証明書を指定します。ref 属性を使用して署名済み証明書をフロー変数に渡すか、PEM でエンコードされた証明書を直接指定します。アルゴリズムが RS256 / RS384 / RS512、PS256 / PS384 / PS512、ES256 / ES384 / ES512 のいずれかの場合にのみ使用します。
| デフォルト | なし |
| 要否 | RSA アルゴリズムで署名された JWT を検証するには、証明書、JWKS、Value 要素を使用します。 |
| 型 | 文字列 |
| 有効な値 | フロー変数または文字列 |
<PublicKey/JWKS>
<!-- Specify the JWKS. --> <PublicKey> <JWKS>jwks-value-here</JWKS> </PublicKey> or: <!-- Specify a variable containing the JWKS. --> <PublicKey> <JWKS ref="public.jwks"/> </PublicKey> or: <!-- Specify a public URL that returns the JWKS. The URL is static, meaning you cannot set it using a variable. --> <PublicKey> <JWKS uri="jwks-url"/> </PublicKey>
公開鍵のセットを含む JWKS フォーマット(RFC 7517)の値を指定します。アルゴリズムが RS256 / RS384 / RS512、PS256 / PS384 / PS512、ES256 / ES384 / ES512 のいずれかの場合にのみ使用します。
受信 JWT が JWKS のセットに存在する鍵 ID を保持している場合、ポリシーは正しい公開鍵を使用して JWT 署名を検証します。この機能について詳しくは、JSON Web Key Set(JEKS)を使用した JWT の検証をご覧ください。
値を公開 URL から取得した場合、Edge は JWKS を 300 秒間キャッシュに保存します。キャッシュが期限切れになると、Edge は JWKS を再取得します。
| デフォルト | なし |
| 要否 | RSA アルゴリズムを使用して JWT を検証するには、証明書、JWKS、Value 要素を使用します。 |
| 型 | 文字列 |
| 有効な値 | フロー変数、文字列値、URL |
<PublicKey/Value>
<PublicKey>
<Value ref="public.publickeyorcert"/>
</PublicKey>
-or-
<PublicKey>
<Value>
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAw2kPrRzcufvUNHvTH/WW
Q0UrCw5c0+Y707KX3PpXkZGbtTT4nvU1jC0d1lHV8MfUyRXmpmnNxJHAC2F73IyN
C5TBtXMORc+us7A2cTtC4gZV256bT4h3sIEMsDl0Joz9K9MPzVPFxa1i0RgNt06n
Xn/Bs2UbbLlKP5Q1HPxewUDEh0gVMqz9wdIGwH1pPxKvd3NltYGfPsUQovlof3l2
ALvO7i5Yrm96kknfFEWf1EjmCCKvz2vjVbBb6mp1ZpYfc9MOTZVpQcXSbzb/BWUo
ZmkDb/DRW5onclGzxQITBFP3S6JXd4LNESJcTp705ec1cQ9Wp2Kl+nKrKyv1E5Xx
DQIDAQAB
-----END PUBLIC KEY-----
</Value>
</PublicKey>
JWT 上の署名を検証するために使用される公開鍵または公開証明書を指定します。ref 属性を使用して、公開鍵 / 公開証明書をフロー変数に渡すか、PEM でエンコードされた鍵を直接指定します。アルゴリズムが RS256 / RS384 / RS512、PS256 / PS384 / PS512、ES256 / ES384 / ES512 のいずれかの場合にのみ使用します。
| デフォルト | なし |
| 要否 | RSA アルゴリズムで署名された JWT を検証するには、証明書、JWKS、Value 要素を使用します。 |
| 型 | 文字列 |
| 有効な値 | フロー変数または文字列 |
<SecretKey/Value>
<SecretKey> <Value ref="private.your-variable-name"/> </SecretKey>
HMAC アルゴリズムでトークンを検証するかトークンに署名するための秘密鍵です。アルゴリズムが HS256、HS384、HS512 のいずれかである場合にのみ使用します。ref 属性を使用して、鍵をフロー変数に渡します。
| デフォルト | なし |
| 要否 | HMAC アルゴリズムでは必須。 |
| 型 | 文字列 |
| 有効な値 | 文字列を参照するフロー変数。 注: フロー変数の場合、接頭辞 private が必須になります。例:
|
<Source>
<Source>jwt-variable</Source>
ポリシー構成に含める場合は、検証対象の JWT が存在すると予想されるフロー変数を指定します。
| デフォルト | request.header.authorization(デフォルトに関する重要な情報については、上記の注をご覧ください)。 |
| 要否 | 省略可 |
| 型 | 文字列 |
| 有効な値 | Edge のフロー変数名。 |
<Subject>
<Subject>subject-string-here</Subject>
このポリシーは、JWT のサブジェクトの値がポリシー構成で指定された文字列と一致することを確認します。このクレームは、JWT のサブジェクトに関するステートメントを識別または作成します。これは、RFC7519 に記載されている標準的なクレームの 1 つです。
| デフォルト | なし |
| 要否 | 省略可 |
| 型 | 文字列 |
| 有効な値 | 主体を一意に識別する任意の値 |
<TimeAllowance>
<TimeAllowance>120s</TimeAllowance>
「猶予期間」を示します。たとえば猶予期間を 60 秒に指定した場合、有効期限切れの JWT でも期限切れの後 60 秒間は有効として扱われます。not-before-time も同様に評価されます。デフォルトは 0 秒(猶予期間なし)です。
| デフォルト | 0 秒(猶予期間なし) |
| 要否 | 省略可 |
| 型 | 文字列 |
| 有効な値 |
値、または値を含むフロー変数への参照。期間は次のように指定できます。
|
フロー変数
Verify JWT ポリシーと Decode JWT ポリシーは、成功すると次のパターンに従ってコンテキスト変数を設定します。
jwt.{policy_name}.{variable_name}
たとえば、ポリシー名が jwt-parse-token の場合、ポリシーは JWT で指定されたサブジェクトを jwt.jwt-parse-token.decoded.claim.sub という名前のコンテキスト変数に保存します。(下位互換性を確保するため、jwt.jwt-parse-token.claim.subject でも利用できます)。
| 変数名 | 説明 |
|---|---|
claim.audience |
JWT オーディエンス クレーム。この値は、文字列または文字列の配列です。 |
claim.expiry |
有効期限の日時。エポックからのミリ秒単位で表します。 |
claim.issuedat |
トークンが発行された日付。エポックからのミリ秒単位で表します。 |
claim.issuer |
JWT 発行元クレーム。 |
claim.notbefore |
JWT に nbf クレームが含まれている場合、この変数にはエポックからのミリ秒で表された値が含まれます。 |
claim.subject |
JWT サブジェクト クレーム。 |
claim.name |
ペイロードに含まれる名前付きクレームの値(標準または追加)。ペイロードに含まれるすべてのクレームに、これらのいずれかが設定されます。 |
decoded.claim.name |
ペイロードに含まれる名前付きクレーム(標準または追加)の JSON 解析可能な値。ペイロードに含まれるすべてのクレームに 1 つの変数が設定されます。たとえば、decoded.claim.iat を使用して JWT の発行時刻(エポックからの経過秒数)を取得できます。claim.name フロー変数を使用することもできますが、クレームへのアクセスには、この変数を使用することをおすすめします。 |
decoded.header.name |
ペイロードに含まれるヘッダーの JSON 解析可能な値。ペイロードに含まれるすべてのヘッダーに 1 つの変数が設定されます。header.name フロー変数を使用することもできますが、ヘッダーへのアクセスにはこの変数を使用することをおすすめします。 |
expiry_formatted |
人間が読める文字列で表された有効期限の日時。例: 2017-09-28T21:30:45.000+0000 |
header.algorithm |
JWT で使用される署名アルゴリズム。たとえば、RS256、HS384 など。詳細については、(アルゴリズム)ヘッダー パラメータをご覧ください。 |
header.kid |
鍵 ID(JWT の生成時に追加された場合)。JWT を検証するため、JWT ポリシーの概要の「JSON Web Key Set(JWKS)の使用」もご覧ください。詳細については、(鍵 ID)ヘッダー パラメータをご覧ください。 |
header.type |
JWT に設定されます。 |
header.name |
名前付きヘッダーの値(標準または追加)。このいずれかが、JWT のヘッダー部分のすべての追加ヘッダーに設定されます。 |
header-json |
JSON 形式のヘッダー。 |
is_expired |
true または false |
payload-claim-names |
JWT でサポートされるクレームの配列。 |
payload-json |
JSON 形式のペイロード。
|
seconds_remaining |
トークンが期限切れになるまでの秒数。トークンが期限切れの場合、この数値は負の値になります。 |
time_remaining_formatted |
トークンが期限切れになるまでの残り時間(人間が読める形式の文字列)。例: 00:59:59.926 |
valid |
VerifyJWT では、署名が検証済みであり、現在時刻がトークンの有効期限よりも前で、notBefore トークンの値よりも後の場合、この変数は true になります。それ以外は、false になります。 DecodeJWT では、この変数は設定されません。 |
エラー リファレンス
このセクションでは、返されるエラー コードとエラー メッセージ、およびこのポリシーでエラーがトリガーされたときに Edge によって設定される障害変数について説明します。この情報は、障害に対処する障害ルールを作成するうえで重要です。詳細については、ポリシーエラーについて知っておくべきことと障害の処理をご覧ください。
ランタイム エラー
これらのエラーは、ポリシーの実行時に発生することがあります。
| 障害コード | HTTP ステータス | エラーが発生する条件 |
|---|---|---|
steps.jwt.AlgorithmInTokenNotPresentInConfiguration |
401 | 検証ポリシーに複数のアルゴリズムがある場合。 |
steps.jwt.AlgorithmMismatch |
401 | Generate ポリシーで指定されたアルゴリズムが、Verify ポリシーで想定されているアルゴリズムと一致しない場合。指定されたアルゴリズムは一致する必要があります。 |
steps.jwt.FailedToDecode |
401 | ポリシーで JWT をデコードできなかった場合。JWT が破損している可能性があります。 |
steps.jwt.GenerationFailed |
401 | ポリシーで JWT を生成できない場合。 |
steps.jwt.InsufficientKeyLength |
401 | HS256 アルゴリズムでは 32 バイト未満の鍵の場合、HS386 アルゴリズムでは 48 バイト未満の鍵の場合、HS512 アルゴリズムでは 64 バイト未満の鍵の場合。 |
steps.jwt.InvalidClaim |
401 | 欠落しているクレームやクレームの不一致、または欠落しているヘッダーやヘッダーの不一致がある場合。 |
steps.jwt.InvalidCurve |
401 | キーで指定された曲線が、楕円曲線アルゴリズムでは無効な場合。 |
steps.jwt.InvalidJsonFormat |
401 | ヘッダーまたはペイロードで無効な JSON が検出された場合。 |
steps.jwt.InvalidToken |
401 | JWT 署名の検証で不合格だった場合。 |
steps.jwt.JwtAudienceMismatch |
401 | オーディエンス クレームがトークンの検証で不合格だった場合。 |
steps.jwt.JwtIssuerMismatch |
401 | 発行元クレームがトークンの検証で不合格だった場合。 |
steps.jwt.JwtSubjectMismatch |
401 | サブジェクト クレームがトークンの検証で不合格だった場合。 |
steps.jwt.KeyIdMissing |
401 | Verify ポリシーが JWKS を公開鍵のソースとして使用するが、署名付き JWT にはヘッダーに kid プロパティが含まれてない場合。 |
steps.jwt.KeyParsingFailed |
401 | 指定された鍵情報で公開鍵を解析できない場合。 |
steps.jwt.NoAlgorithmFoundInHeader |
401 | JWT にアルゴリズム ヘッダーが含まれていない場合。 |
steps.jwt.NoMatchingPublicKey |
401 | Verify ポリシーが JWKS を公開鍵のソースとして使用するが、署名付き JWT の kid は JWKS にリストされない場合。 |
steps.jwt.SigningFailed |
401 | GenerateJWT では、HS384 または HS512 アルゴリズムの最小サイズ未満の鍵の場合。 |
steps.jwt.TokenExpired |
401 | ポリシーが期限切れのトークンを検証しようとしている場合。 |
steps.jwt.TokenNotYetValid |
401 | トークンがまだ有効になっていない場合。 |
steps.jwt.UnhandledCriticalHeader |
401 | crit ヘッダーの Verify JWT ポリシーで見つかったヘッダーが KnownHeaders にリストされていない場合。 |
steps.jwt.UnknownException |
401 | 不明な例外が発生した場合。 |
steps.jwt.WrongKeyType |
401 | キーのタイプが正しくない場合。たとえば、楕円曲線アルゴリズムで RSA 鍵を指定する場合や、RSA アルゴリズムで曲線鍵を指定する場合など。 |
デプロイエラー
以下のエラーは、このポリシーを含むプロキシをデプロイするときに発生することがあります。
| エラー名 | 原因 | 修正 |
|---|---|---|
InvalidNameForAdditionalClaim |
<AdditionalClaims> 要素の子要素 <Claim> で使用されたクレームの型が、次の登録された名前のいずれかである場合、デプロイは失敗します。kid、iss、sub、aud、iat、exp、nbf、jti。
|
build |
InvalidTypeForAdditionalClaim |
<AdditionalClaims> 要素の子要素 <Claim> で使用されるクレームが string、number、boolean、map 型でない場合。デプロイは失敗します。
|
build |
MissingNameForAdditionalClaim |
<AdditionalClaims> 要素の子要素 <Claim> でクレームの名前が指定されていない場合、デプロイは失敗します。
|
build |
InvalidNameForAdditionalHeader |
このエラーは、<AdditionalClaims> 要素の子要素 <Claim> で使用されているクレームの名前が、alg または typ の場合に発生します。
|
build |
InvalidTypeForAdditionalHeader |
<AdditionalClaims> 要素の子要素 <Claim> で使用されるクレームの型が string、number、boolean、map 型でない場合。デプロイは失敗します。
|
build |
InvalidValueOfArrayAttribute |
このエラーは、<AdditionalClaims> 要素の子要素 <Claim> 内の配列属性の値が、true または false に設定されていない場合に発生します。
|
build |
InvalidValueForElement |
<Algorithm> 要素に指定された値がサポートされていない値である場合、デプロイは失敗します。
|
build |
MissingConfigurationElement |
このエラーは、<PrivateKey> 要素が RSA ファミリー アルゴリズムで使用されていない場合や、<SecretKey> 要素が HS ファミリー アルゴリズムで使用されていない場合に発生します。
|
build |
InvalidKeyConfiguration |
子要素 <Value> が <PrivateKey> 要素または <SecretKey> 要素で定義されていない場合、デプロイは失敗します。
|
build |
EmptyElementForKeyConfiguration |
<PrivateKey> 要素または <SecretKey> 要素の子要素 <Value> の ref 属性が、空であるか指定されていない場合、デプロイは失敗します。
|
build |
InvalidConfigurationForVerify |
このエラーは、<Id> 要素が <SecretKey> 要素内で定義されている場合に発生します。
|
build |
InvalidEmptyElement |
このエラーは、Verify JWT ポリシーの <Source> 要素が空の場合に発生します。存在する場合、Edge のフロー変数名で定義する必要があります。 |
build |
InvalidPublicKeyValue |
<PublicKey> 要素の子要素 <JWKS> で使用される値が、RFC 7517 で指定されている有効なフォーマットを使用していない場合、デプロイが失敗します。
|
build |
InvalidConfigurationForActionAndAlgorithm |
<PrivateKey> 要素が HS ファミリー アルゴリズムで使用されている場合、または <SecretKey> 要素が RSA ファミリー アルゴリズムで使用されている場合、デプロイは失敗します。
|
build |
障害変数
ランタイム エラーが発生すると、次の変数が設定されます。詳細については、ポリシーエラーについて知っておくべきことをご覧ください。
| 変数 | 説明 | 例 |
|---|---|---|
fault.name="fault_name" |
fault_name は、上記のランタイム エラーの表に記載されている障害の名前です。障害コードの最後の部分が障害名になります。 | fault.name Matches "TokenExpired" |
JWT.failed |
障害の場合は、すべての JWT ポリシーで同じ変数が設定されます。 | JWT.failed = true |
エラー レスポンスの例
ベスト プラクティスとして、エラー処理では、エラー レスポンスの errorcode の部分をトラップすることをおすすめします。faultstring のテキストは変更される可能性があるため、依存しないでください。
障害ルールの例
<FaultRules>
<FaultRule name="JWT Policy Errors">
<Step>
<Name>JavaScript-1</Name>
<Condition>(fault.name Matches "TokenExpired")</Condition>
</Step>
<Condition>JWT.failed=true</Condition>
</FaultRule>
</FaultRules>