Esta página se aplica a Apigee y Apigee Hybrid.
Consulta la documentación de
Apigee Edge.
Esta política calcula y, opcionalmente, verifica un código de autenticación de mensajes basado en hash (HMAC). A veces se conoce como código de autenticación de mensajes con clave o hash con clave. HMAC usa una función de hash criptográfica, como SHA-1, SHA-224, SHA-256, SHA-384, SHA-512 o MD-5, que se aplica a un mensaje junto con una clave secreta para generar una firma o un código de autenticación de mensajes en ese mensaje. El término "mensaje" hace referencia a cualquier flujo de bytes. En el uso habitual de HMAC, el remitente de un mensaje envía un mensaje y su HMAC a un receptor, y este puede usar el HMAC junto con la clave secreta compartida para autenticar el mensaje.
Esta política es una política estándar y se puede implementar en cualquier tipo de entorno. Para obtener información sobre los tipos de políticas y la disponibilidad de cada tipo de entorno, consulta Tipos de políticas.
Para obtener más información sobre HMAC, consulta HMAC: Keyed-Hashing for Message Authentication (rfc2104).
Ejemplos
Generar HMAC
<HMAC name='HMAC-1'> <Algorithm>SHA256</Algorithm> <!-- the default encoding of the SecretKey is UTF-8 --> <SecretKey encoding='base64' ref='private.secretkey'/> <IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables> <!-- optional --> <!-- The Message element accepts a template, which means the "message" the policy operates on can include fixed and multiple variable parts, including newlines and static functions. Whitespace, such as newlines and space characters, is significant. --> <Message>Fixed Part {a_variable} {timeFormatUTCMs(timeFormatString1,system.timestamp)} {nonce}</Message> <!-- default encoding is base64 --> <Output encoding='base16'>name_of_variable</Output> </HMAC>
Verificar HMAC
<HMAC name='HMAC-1'> <Algorithm>SHA256</Algorithm> <!-- the default encoding of the SecretKey is UTF-8 --> <SecretKey encoding='base16' ref='private.secretkey'/> <IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables> <!-- optional --> <!-- The Message element accepts a template. This policy verifies an HMAC on the request content. --> <Message>{request.content}</Message> <!-- VerificationValue is optional. Include it to perform an HMAC check. --> <VerificationValue encoding='base16' ref='expected_hmac_value'/> <!-- default encoding of the output is base64 --> <Output encoding='base16'>name_of_variable</Output> </HMAC>
El cálculo de una firma y la verificación de esa firma siguen exactamente el mismo proceso. La política HMAC calcula un HMAC y, opcionalmente, puede verificar la firma calculada con un valor esperado. El elemento VerificationValue
opcional (si está presente) indica a la política que compruebe el valor calculado con un valor conocido o proporcionado.
Referencia de elementos para HMAC
En la referencia de la política se describen los elementos y atributos de la política HMAC.
Atributos que se aplican al elemento de nivel superior
<HMAC name="HMAC" continueOnError="false" enabled="true" async="false">
Los siguientes atributos son comunes a todos los elementos principales de la política.
Atributo | Descripción | Predeterminado | Presencia |
---|---|---|---|
name |
El nombre interno de la política. Solo puedes usar los siguientes caracteres en el nombre:
A-Z0-9._\-$ % . Sin embargo, la interfaz de usuario de Apigee aplica restricciones adicionales, como la eliminación automática de caracteres que no son alfanuméricos.
También puede usar el elemento |
N/A | Obligatorio |
continueOnError |
Asigna el valor false para devolver un error cuando falle una política. Este es el comportamiento esperado de la mayoría de las políticas.
Asigna el valor |
falso | Opcional |
habilitada |
Asigna el valor true para aplicar la política.
Selecciona |
true | Opcional |
asíncrono | Este atributo está obsoleto. | falso | Obsoleto |
<Algorithm>
<Algorithm>algorithm-name</Algorithm>
Especifica el algoritmo hash que se va a usar al calcular el HMAC.
Predeterminado | N/A |
Presencia | Obligatorio |
Tipo | Cadena |
Valores válidos | SHA-1 , SHA-224 , SHA-256 , SHA-384 ,
SHA-512 y MD-5
La configuración de la política acepta nombres de algoritmos sin distinguir entre mayúsculas y minúsculas, y
con o sin guion entre las letras y los números. Por ejemplo,
|
<DisplayName>
<DisplayName>Policy Display Name</DisplayName>
Se usa junto con el atributo name para etiquetar la política en el editor de proxies de la interfaz de usuario de Apigee con un nombre diferente en lenguaje natural.
Predeterminado | Si omite este elemento, se usará el valor del atributo name de la política. |
Presencia | Opcional |
Tipo | Cadena |
<Message>
<Message>message_template_here</Message> or <Message ref='variable_here'/>
Especifica la carga útil del mensaje que se va a firmar. La entrada de este elemento admite plantillas de mensajes (sustitución de variables) para incluir elementos adicionales en el tiempo de ejecución, como marcas de tiempo, nonces, listas de encabezados u otra información. Por ejemplo:
<Message>Fixed Part {a_variable} {timeFormatUTCMs(timeFormatString1,system.timestamp)} {nonce} </Message>
La plantilla de mensaje puede incluir partes fijas y variables, como saltos de línea y funciones estáticas. Los espacios en blanco, como los saltos de línea y los espacios, son significativos.
Predeterminado | N/A |
Presencia | Obligatorio |
Tipo | Cadena |
Valores válidos | Se puede usar cualquier cadena como valor de texto. Si proporciona un atributo ref ,
tendrá prioridad sobre el valor de texto. La política evalúa el valor de texto o la variable a la que se hace referencia como plantilla de mensaje. |
<Output>
<Output encoding='encoding_name'>variable_name</Output>
Especifica el nombre de la variable que la política debe definir con el valor HMAC calculado. También especifica la codificación que se va a usar en la salida.
Predeterminado |
La variable de salida predeterminada es El valor predeterminado del atributo |
Presencia | Opcional. Si este elemento no está presente, la política asigna a la variable de flujo hmac.POLICYNAME.output un valor codificado en Base64. |
Tipo | Cadena |
Valores válidos | Para la codificación, El sistema no distingue entre mayúsculas y minúsculas. Por ejemplo, El valor de texto del elemento |
<SecretKey>
<SecretKey encoding='encoding_name' ref='private.secretkey'/>
Especifica la clave secreta que se usa para calcular el HMAC. La clave se obtiene de la variable a la que se hace referencia y se decodifica según la codificación específica.
Predeterminado |
No hay ningún valor predeterminado para la variable de referencia;
el atributo Si no se incluye el atributo |
Presencia | Obligatorio |
Tipo | Cadena |
Valores válidos | En el caso de El uso de un atributo de codificación le permite especificar una clave que incluya bytes fuera del intervalo de caracteres imprimibles UTF-8. Por ejemplo, supongamos que la configuración de la política incluye lo siguiente: <SecretKey encoding='hex' ref='private.encodedsecretkey'/>
Supongamos que
En este caso, los bytes de la clave se decodificarán como [53 65 63 72 65 74 31 32 33]
(cada byte representado en hexadecimal). Por ejemplo, si usa |
<VerificationValue>
<VerificationValue encoding='encoding_name' ref='variable_name'/> or <VerificationValue encoding='encoding_name'>string_value</VerificationValue>
(Opcional) Especifica el valor de verificación, así como la codificación que se ha usado para codificar el valor de verificación. La política usará esta codificación para decodificar el valor.
Predeterminado | No hay ningún valor de verificación predeterminado. Si el elemento está presente, pero el atributo encoding no, la política usa una codificación predeterminada de base64 . |
Presencia | Opcional |
Tipo | Cadena |
Valores válidos |
Los valores válidos del atributo de codificación son La codificación de |
<IgnoreUnresolvedVariables>
<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>
Asigna el valor false
si quieres que la política genere un error cuando no se pueda resolver ninguna variable de referencia especificada en la política. Asigna el valor true
para tratar cualquier variable que no se pueda resolver como una cadena vacía (nula).
El valor booleano IgnoreUnresolvedVariables solo afecta a las variables a las que hace referencia la plantilla de mensaje. Aunque SecretKey
y VerificationValue
pueden hacer referencia a una variable, ambas deben poder resolverse, por lo que el ajuste ignore
no se aplica a ellas.
Predeterminado | Falso |
Presencia | Opcional |
Tipo | Booleano |
Valores válidos | verdadero o falso |
Variables de flujo
La política puede definir estas variables durante la ejecución.
Variable | Descripción | Ejemplo |
---|---|---|
hmac.policy_name.message |
La política asigna a esta variable el mensaje efectivo, que es el resultado de evaluar la plantilla de mensaje especificada en el elemento Message . |
hmac.HMAC-Policy.message = "Hello, World" |
hmac.policy_name.output |
Obtiene el resultado del cálculo de HMAC cuando el elemento Output no especifica un nombre de variable. |
hmac.HMAC-Policy.output = /yyRjydfP+fBHTwXFgc5AZhLAg2kwCri+e35girrGw4= |
hmac.policy_name.outputencoding |
Obtiene el nombre de la codificación de salida. | hmac.HMAC-Policy.outputencoding = base64 |
Incidencias frecuentes
En un nivel, la política de HMAC parece sencilla: proporciona una clave y un mensaje, y obtén un HMAC calculado como respuesta. Puede ser frustrante usar la política si obtienes un valor HMAC inesperado para una combinación de mensaje y clave conocida. En esta sección se explican algunas notas de uso para solucionar estos problemas.
Hay dos errores habituales que provocan que los HMACs no coincidan durante la verificación:
diferencias en los espacios en blanco del mensaje y diferencias en la codificación y descodificación.
Esto se aplica tanto al elemento SecretKey
como al elemento Output
.
Diferencias de espacios en blanco
Las diferencias que pueden parecer poco importantes para una persona afectan al valor HMAC de salida. Por ejemplo,
supongamos que una clave secreta se puede representar como "Secret123". Con la decodificación UTF-8, los bytes de la clave
serán: [53 65 63 72 65 74 31 32 33]
. Si se usa esa clave para calcular un HMAC-SHA256 en el mensaje abc
, se obtiene a7938720fe5749d31076e6961360364c0cd271443f1b580779932c244293bc94
.
Si se añade un espacio al mensaje, de modo que sea abc<SPACE>
, donde
<SPACE>
implica un ASCII 32, se obtiene un
HMAC-SHA256 de 274669b2a85d2532da48e2ce3d8e52ee17346d1bcd1a606d87db1934b5ab294b
.
Del mismo modo, si el mensaje es abc<NEWLINE>
, donde
<NEWLINE>
implica un ASCII 10,
el HMAC es 0780370844ca07f896066837e8230d3b6a775f678a4ae03e6b5e864c674831f5
.
Si se hacen pequeños cambios en el mensaje, los valores de HMAC serán muy diferentes. Es un comportamiento programado.
Este es el comportamiento previsto y deseado de HMAC.
Conclusión: Es importante asegurarse de que el cuerpo del mensaje que se usa para calcular el HMAC original y el cuerpo del mensaje que se usa para verificar el HMAC sean exactamente iguales. Si el verificador de un HMAC cambia la carga útil del mensaje de alguna forma, por ejemplo, añadiendo espacios en blanco o reformateando el texto, el HMAC calculado cambiará.
Presta especial atención al usar una plantilla de mensaje en la configuración de la política. Por ejemplo, este fragmento de configuración de la política muestra un posible problema:
<HMAC name='HMAC-1'> ... <!-- the result of this message template will include surrounding whitespace --> <Message> {request.content} </Message> ... </HMAC>
El resultado de evaluar la plantilla de mensaje en el elemento <Message>
incluirá saltos de línea y espacios alrededor del contenido del mensaje. Probablemente no es lo que se pretende. Una configuración mejor tendría este aspecto:
<HMAC name='HMAC-1'> ... <Message>{request.content}</Message> ... </HMAC>
Diferencias en la codificación
Las diferentes decodificaciones del mismo material de clave dan lugar a claves diferentes. Supongamos que una clave secreta
que se puede representar como "U2VjcmV0S2V5MTIz". Con la decodificación UTF-8, los bytes de la clave, representados en base16, serán [55 32 56 6a 63 6d 56 30 53 32 56 35 4d 54 49 7a]
.
Con la decodificación en base64, los bytes de la clave serán [53 65 63 72 65 74 4b 65 79 31 32 33]
.
Si se decodifica el material de origen de forma diferente, se obtendrán claves distintas, lo que dará lugar a valores HMAC diferentes.
Conclusión: Es importante asegurarse de que el material de clave utilizado para calcular el HMAC original y la clave utilizada para verificar el HMAC sean exactamente iguales. Probablemente significa que
se debe usar la misma codificación de la clave en ambos extremos. En la política de HMAC, puedes usar el atributo encoding
en el elemento SecretKey
para especificar la codificación de la clave.
También debes tener en cuenta las codificaciones de la salida. Un HMAC-SHA256 expresado en codificación hexadecimal o de base 16 (27f17e11c8ece93844c5eb5e55161d993368628a214f9a51c25d0185e8ea06e2
) es lo mismo que un HMAC-SHA256 expresado en formato codificado en Base64 (J/F+Ecjs6ThExeteVRYdmTNoYoohT5pRwl0BhejqBuI=
).
Aunque parezcan diferentes, estas dos cadenas representan el mismo valor. Asegúrate de que se usa la misma codificación para codificar el HMAC calculado originalmente y el HMAC de verificación. En la política de HMAC, puede usar el atributo encoding
en el Output
elemento
para especificar la codificación de salida que quiera, y el mismo atributo en el
VerificationValue
elemento
para especificar cómo decodificar el verificador.
Referencia de errores
En esta sección se describen los códigos de error y los mensajes de error que devuelve Apigee, así como las variables de error que define, cuando esta política activa un error. Es importante que conozcas esta información si vas a desarrollar reglas de errores para gestionarlos. Para obtener más información, consulta Qué debes saber sobre los errores de políticas y Cómo gestionar los fallos.
Errores de tiempo de ejecución
Estos errores pueden producirse cuando se ejecuta la política.
Código de fallo | Estado de HTTP | Se produce cuando |
---|---|---|
steps.hmac.UnresolvedVariable |
401 | Este error se produce si una variable especificada en la política de HMAC es:
|
steps.hmac.HmacVerificationFailed |
401 | No se ha podido verificar el HMAC. El valor de verificación proporcionado no coincide con el valor calculado. |
steps.hmac.HmacCalculationFailed |
401 | La política no ha podido calcular el HMAC. |
steps.hmac.EmptySecretKey |
401 | El valor de la variable de clave secreta está vacío. |
steps.hmac.EmptyVerificationValue |
401 | La variable que contiene el valor de verificación está vacía. |
Errores de implementación
Estos errores pueden producirse al implementar un proxy que contenga esta política.
Nombre del error | Estado de HTTP | Se produce cuando |
---|---|---|
steps.hmac.MissingConfigurationElement |
401 | Este error se produce cuando falta un elemento o un atributo obligatorio. |
steps.hmac.InvalidValueForElement |
401 | Este error se produce si el valor especificado en el elemento Algorithm no es uno de los siguientes: SHA-1 , SHA-224 , SHA-256 , SHA-512 o MD-5 . |
steps.hmac.InvalidSecretInConfig |
401 | Este error se produce si se proporciona un valor de texto explícito para SecretKey . |
steps.hmac.InvalidVariableName |
401 | Este error se produce si la variable SecretKey no contiene el prefijo private (private. ). |
Variables de error
Estas variables se definen cuando se produce un error de tiempo de ejecución. Para obtener más información, consulta Qué debes saber sobre los errores de las políticas.
Variables | Dónde | Ejemplo |
---|---|---|
fault.name="fault_name" |
fault_name es el nombre del error, tal como se indica en la tabla Errores de tiempo de ejecución de arriba. El nombre del error es la última parte del código de error. | fault.name Matches "UnresolvedVariable" |
hmac.policy_name.failed |
La política define esta variable en caso de fallo. | hmac.HMAC-Policy.failed = true |
Ejemplo de respuesta de error
Para gestionar los errores, la práctica recomendada es interceptar la parte errorcode
de la respuesta de error. No te fíes del texto de faultstring
, ya que podría cambiar.
Regla de fallo de ejemplo
<FaultRules> <FaultRule name="HMAC Policy Errors"> <Step> <Name>AM-Unauthorized</Name> <Condition>(fault.name Matches "HmacVerificationFailed")</Condition> </Step> <Condition>hmac.HMAC-1.failed = true</Condition> </FaultRule> </FaultRules>