Вы просматриваете документацию Apigee Edge .
Перейдите к документации Apigee X. информация
О метаданных токена
Apigee Edge генерирует токены доступа OAuth, токены обновления и коды авторизации и распределяет их по аутентифицированным приложениям. Во время генерации Edge сохраняет эти токены и коды. Позже, когда Edge получает входящие запросы API, содержащие эти токены или коды, Edge использует сохраненную информацию для авторизации запросов.
Когда Edge генерирует эти артефакты OAuth, он также присоединяет метаданные к токену или коду. Например, токен доступа связан с парами имя/значение, которые определяют срок действия, связанное приложение и разработчика, а также другую информацию.
JSON-представление токена доступа Edge выглядит следующим образом:
{ "issued_at" : "1372170159093", "application_name" : "ccd1803b-b557-4520-bd62-ddd3abf8e501", "scope" : "READ", "status" : "approved", "api_product_list" : "[Product1,Product2]", "api_product_list_json" : ["Product1", "Product2"], "expires_in" : "3599", //--in seconds "developer.email" : "joe@weathersample.com", "organization_id" : "0", "refresh_token" : "82XMXgDyHTpFyXOaApj8C2AGIPnN2IZe", "client_id" : "deAVedE0W9Z9U35PAMaAJYphBJCGdrND", "access_token" : "shTUmeI1geSKin0TODcGLXBNe9vp", "organization_name" : "apifactory", "refresh_count" : "0" }
Добавление пользовательских атрибутов в токены OAuth
Иногда полезно прикрепить пользовательские метаданные к токену доступа. Например, вы можете добавить в токен имя пользователя, членство в группах или роли для пользователя, идентификатор клиента, идентификатор сеанса или другую произвольную информацию. В Apigee Edge эти данные называются «пользовательскими атрибутами». Впоследствии, когда токен проверяется в рамках запроса API, эти данные становятся доступными прокси-серверу API через переменные контекста. Прокси-сервер API может принимать детальные решения по авторизации или маршрутизации на основе пользовательских данных, прикрепленных к токену.
Чтобы прикрепить к токену произвольные данные, используйте элемент <Attributes>
в политике OAuthV2 . Вы можете указать имя настраиваемого атрибута и значение, которое он должен принимать. Например, вот конфигурация политики, которая генерирует токен и присоединяет к нему настраиваемый атрибут с именем «tenant_list»:
<OAuthV2 name="GenerateAccessToken"> <Operation>GenerateAccessToken</Operation> <ExpiresIn>600000</ExpiresIn> <GenerateResponse /> <SupportedGrantTypes> <GrantType>client_credentials</GrantType> </SupportedGrantTypes> <GrantType>request.queryparam.grant_type</GrantType> <Attributes> <Attribute name="tenant_list" ref="tenant_list_retrieved_from_external_service" display="false"/> </Attributes> </OAuthV2>
Вы можете указать несколько настраиваемых атрибутов и неявно прикрепить их либо к коду авторизации ( <Operation>GenerateAuthorizationCode</Operation>
), либо к токену ( <Operation>GenerateAccessToken</Operation>
) во время генерации.
Если для display
установлено true
(по умолчанию), пользовательские атрибуты возвращаются в ответе, где они могут быть просмотрены приложением или переданы конечному пользователю. Если для display
установлено значение false
, пользовательские атрибуты сохраняются в хранилище данных, но не возвращаются в ответном сообщении. В любом случае пользовательские данные доступны политикам в прокси-сервере API после проверки токена.
Дополнительные сведения о параметре display
Отображение или скрытие пользовательских атрибутов в ответе .
Получение пользовательских атрибутов во время выполнения
При вызове OAuthV2/VerifyAccessToken
Apigee Edge проверяет токен, просматривая его в хранилище токенов. Затем Apigee Edge заполняет набор контекстных переменных, содержащих информацию о токене. К ним относятся:
- название_организации
- разработчик.id
- разработчик.приложение.имя
- client_id
- тип_гранта
- тип токена
- access_token
- выдано_at
- expires_in //--в секундах
- статус
- объем
- apiproduct.name*
Если в токене есть какие-либо настраиваемые атрибуты, эти настраиваемые атрибуты становятся доступными в переменной контекста с именем accesstoken.{custom_attribute}
. Например, предположим, что токен выдан на основе политики, показанной выше. После проверки такого токена появится дополнительная переменная контекста с именем accesstoken.tenant_list
, содержащая значение, которое было сохранено во время создания токена.
Политики или условия могут затем ссылаться на эти переменные и изменять поведение на основе хранящихся в них значений.
Установка и обновление пользовательских атрибутов во время выполнения
В некоторых ситуациях вам может потребоваться, чтобы ваш прокси-сервер API обновлял метаданные, связанные с токеном доступа, во время выполнения, пока вызов API обрабатывается в Apigee Edge. Чтобы помочь в этом, Apigee предоставляет политики для получения и настройки атрибутов токена. Дополнительные сведения см. в разделах «Получение политики информации OAuth V2» и «Настройка политики информации OAuth V2» .
AccessToken
должен ссылаться на переменную, содержащую токен доступа.Вы также можете использовать API Edge для обновления пользовательских атрибутов, прикрепленных к токену. См. документацию по API для метода обновления токена доступа OAuth 2.0 .