Criterio OAuthV2

Questa pagina si applica ad Apigee e Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

Cosa

OAuthV2 è una policy multiforme per l'esecuzione di operazioni di tipo di concessione OAuth 2.0. Questo è il criterio principale utilizzato per configurare gli endpoint OAuth 2.0 su Apigee.

Queste norme sono estensibili e il loro utilizzo potrebbe avere implicazioni in termini di costi o di utilizzo, a seconda della licenza Apigee. Per informazioni sui tipi di criteri e sulle implicazioni di utilizzo, consulta Tipi di criteri.

Per scoprire di più su OAuth su Apigee, consulta la home page di OAuth. Fornisce link a risorse, esempi, video e altro ancora.

Campioni

<OAuthV2 name="OAuthV2-Verify-Access-Token">
    <Operation>VerifyAccessToken</Operation>
</OAuthV2>

$ curl https://API_ENDPOINT/weather/forecastrss?w=12797282 \
  -H "Authorization: Bearer ylSkZIjbdWybfsUQe9BqP0LH5Z"

<OAuthV2 enabled="true" continueOnError="false" async="false" name="generateAccessToken">
    <Operation>GenerateAccessToken</Operation>
    <AppEndUser>Doe</AppEndUser>
    <UserName>jdoe</UserName>
    <PassWord>jdoe</PassWord>
    <GrantType>grant_type</GrantType>
    <ClientId>a_valid_client_id</ClientId>
    <SupportedGrantTypes>
        <GrantType>password</GrantType>
    </SupportedGrantTypes>
</OAuthV2>

var clientId = context.getVariable("local_clientid");
var clientSecret = context.getVariable("local_secret");
context.setVariable("request.header.Authorization","Basic "+ CryptoJS.enc.Base64.stringify(CryptoJS.enc.Latin1
                                      .parse(clientId + ':' + clientSecret)));

Vedi anche Codifica delle credenziali di autenticazione di base.

Riferimento elemento

Il riferimento ai criteri descrive gli elementi e gli attributi dei criteri OAuthV2.

Il criterio di esempio mostrato di seguito è una delle tante configurazioni possibili. Questo esempio mostra un criterio OAuthV2 configurato per l'operazione GenerateAccessToken. Include elementi obbligatori e facoltativi. Per maggiori dettagli, consulta le descrizioni degli elementi in questa sezione.

<OAuthV2 name="GenerateAccessToken">
  <!-- This policy generates an OAuth 2.0 access token using the client_credentials grant type -->
  <Operation>GenerateAccessToken</Operation>
  <!-- This is in millseconds, so expire in an hour -->
  <ExpiresIn>3600000</ExpiresIn>
  <SupportedGrantTypes>
    <GrantType>client_credentials</GrantType>
  </SupportedGrantTypes>
  <GrantType>request.queryparam.grant_type</GrantType>
  <GenerateResponse/>
</OAuthV2>

Attributi <OAuthV2>

<OAuthV2 async="false" continueOnError="false" enabled="true" name="MyOAuthPolicy">

La tabella seguente descrive gli attributi comuni a tutti gli elementi principali dei criteri:

Elemento <DisplayName>

Da utilizzare insieme all'attributo name per etichettare il criterio nell'editor proxy dell'interfaccia utente di gestione con un nome diverso in linguaggio naturale.

<DisplayName>Policy Display Name</DisplayName>

Elemento <AccessToken>

<AccessToken>request.header.access_token</AccessToken>

Per impostazione predefinita, quando Operation è VerifyAccessToken, il criterio prevede che il token di accesso venga inviato nell'intestazione Authorization come token di tipo bearer, ovvero con il prefisso "Bearer" seguito da uno spazio vuoto. Puoi modificare questa impostazione predefinita utilizzando questo elemento, specificando il nome di una variabile che contiene il token di accesso da verificare. Quando utilizzi questo elemento, il criterio per impostazione predefinita non cerca un prefisso nei contenuti della variabile. Se vuoi specificare che il criterio deve cercare un prefisso, utilizza anche l'elemento AccessTokenPrefix.

Esempi:

• Quando la configurazione dei criteri è:

    <OAuthV2 name="OAuthV2-Verify-Access-Token-in-Header">
        <Operation>VerifyAccessToken</Operation>
        <AccessToken>request.header.access_token</AccessToken>
    </OAuthV2>

  Per passare il token utilizzando curl, puoi utilizzare:

    curl https://API_ENDPOINT/oauth2/validate -H "access_token:Rft3dqrs56Blirls56a"

• Quando la configurazione dei criteri è:

    <OAuthV2 name="OAuthV2-Verify-Access-Token-in-QueryParam">
        <Operation>VerifyAccessToken</Operation>
        <AccessToken>request.queryparam.token</AccessToken>
    </OAuthV2>

  Per passare il token utilizzando curl, puoi utilizzare:

    curl "https://API_ENDPOINT/oauth2/validate?token=Rft3dqrs56Blirls56a"

Dove API_ENDPOINT è il dominio utilizzato per accedere alle tue API, come configurato nel tuo sistema Apigee.

Elemento <AccessTokenPrefix>

<AccessTokenPrefix>Prefix</AccessTokenPrefix>

Per impostazione predefinita, quando Operation è VerifyAccessToken, il criterio prevede che il token di accesso venga inviato nell'intestazione Authorization come token di tipo bearer, ovvero con il prefisso "Bearer" seguito da uno spazio vuoto. Se utilizzi l'elemento AccessToken per specificare una posizione diversa per il token di accesso in entrata, puoi utilizzare anche questo elemento, AccessTokenPrefix, per specificare un prefisso diverso e non standard.

Ad esempio, se specifichi:

<OAuthV2 name="OAuthV2-Verify-Access-Token-Alternative-Header">
    <Operation>VerifyAccessToken</Operation>
    <AccessToken>request.header.token</AccessToken>
    <AccessTokenPrefix>KEY</AccessTokenPrefix>
</OAuthV2>

Il criterio estrae il token di accesso in entrata dall'intestazione della richiesta token, in questo modo: se l'intestazione inizia con la parola "KEY" seguita da uno spazio, il criterio rimuove il prefisso e lo spazio e interpreta il valore rimanente come token di accesso. Se il prefisso specificato non è presente nell'intestazione, il criterio genererà un errore.

Se specifichi l'elemento AccessToken e non specifichi l'elemento AccessTokenPrefix, il criterio interpreterà l'intero valore della variabile specificata all'interno dell'elemento AccessToken come token di accesso.

Questo elemento è efficace solo se viene utilizzato anche l'elemento AccessToken.

<Algorithm>

<Algorithm>algorithm-here</Algorithm>

Specifica l'algoritmo di crittografia utilizzato per firmare un token di accesso JWT. Gli algoritmi RSA (RS*) utilizzano una coppia di chiavi pubblica/segreta, mentre gli algoritmi HMAC (HS*) utilizzano un segreto condiviso. Questo elemento è obbligatorio per le operazioni GenerateJWTAccessToken, VerifyJWTAccessToken e RefreshJWTAccessToken.

Elemento <AppEndUser>

<AppEndUser>request.queryparam.app_enduser</AppEndUser>

Nei casi in cui l'ID utente finale dell'app deve essere inviato al server di autorizzazione, questo elemento consente di specificare dove Apigee deve cercare l'ID utente finale. Ad esempio, potrebbe essere inviato come parametro di query o in un'intestazione HTTP.

Ad esempio, request.queryparam.app_enduser indica che AppEndUser deve essere presente come parametro di query, ad esempio ?app_enduser=ntesla@theramin.com. Per richiedere AppEndUser in un'intestazione HTTP, ad esempio, imposta questo valore su request.header.app_enduser.

Se fornisci questa impostazione, puoi includere un ID utente finale dell'app nel token di accesso. Questa funzionalità è utile se vuoi poter recuperare o revocare i token di accesso OAuth 2.0 in base all'ID utente finale. Per ulteriori informazioni, consulta Attivare il recupero e la revoca dei token di accesso OAuth 2.0 per ID utente finale, ID app o entrambi.

<Attributes/Attribute>

<Attributes>
    <Attribute name="attr_name1" ref="flow.variable" display="true|false">value1</Attribute>
    <Attribute name="attr_name2" ref="flow.variable" display="true|false">value2</Attribute>
</Attributes>

Utilizza questo elemento per aggiungere attributi personalizzati a un token di accesso o a un codice di autorizzazione. Ad esempio, potresti voler incorporare un ID utente o un identificatore di sessione in un token di accesso che può essere estratto e controllato in fase di runtime.

Questo elemento ti consente di specificare un valore in una variabile di flusso o da una stringa letterale. Se specifichi sia una variabile che una stringa, viene utilizzato il valore specificato nella variabile di flusso. Se la variabile non può essere risolta, la stringa è quella predefinita.

Per saperne di più sull'utilizzo di questo elemento, consulta Personalizzazione dei token e dei codici di autorizzazione.

Visualizzare o nascondere attributi personalizzati nella risposta

Tieni presente che se imposti l'elemento GenerateResponse di questo criterio su true, nella risposta viene restituita la rappresentazione JSON completa del token, inclusi gli attributi personalizzati che hai impostato. In alcuni casi, potresti voler nascondere alcuni o tutti gli attributi personalizzati nella risposta in modo che non siano visibili alle app client.

Per impostazione predefinita, gli attributi personalizzati vengono visualizzati nella risposta. Se vuoi nasconderli, puoi impostare il parametro display su false. Ad esempio:

<Attributes>
    <Attribute name="employee_id" ref="employee.id" display="false"/>
    <Attribute name="employee_name" ref="employee.name" display="false"/>
</Attributes>

Il valore dell'attributo display non viene memorizzato. Supponiamo di generare un token di accesso con attributi personalizzati che vuoi nascondere nella risposta generata. L'impostazione display=false consente di raggiungere questo obiettivo. Tuttavia, se in un secondo momento viene generato un nuovo token di accesso utilizzando un token di aggiornamento, gli attributi personalizzati originali del token di accesso verranno visualizzati nella risposta del token di aggiornamento. Questo perché Apigee non ricorda che l'attributo display era originariamente impostato su false nella policy di generazione del token di accesso. L'attributo personalizzato fa semplicemente parte dei metadati del token di accesso.

Vedrai lo stesso comportamento se aggiungi attributi personalizzati a un codice di autorizzazione: quando viene generato un token di accesso utilizzando quel codice, questi attributi personalizzati vengono visualizzati nella risposta del token di accesso. Anche in questo caso, questo potrebbe non essere il comportamento che intendi.

Per nascondere gli attributi personalizzati in questi casi, hai a disposizione le seguenti opzioni:

• Reimposta esplicitamente gli attributi personalizzati nella policy dei token di aggiornamento e imposta la loro visualizzazione su false. In questo caso, potrebbe essere necessario recuperare i valori personalizzati originali dal token di accesso originale utilizzando il criterio GetOAuthV2Info.
• Utilizza un criterio JavaScript di post-elaborazione per estrarre manualmente gli attributi personalizzati che non vuoi visualizzare nella risposta.

Vedi anche Personalizzazione di token e codici di autorizzazione.

Elemento <CacheExpiryInSeconds>

<CacheExpiryInSeconds ref="propertyset.settings.token-ttl">60</CacheExpiryInSeconds>

Questo elemento può essere utilizzato solo con l'operazione VerifyAccessToken. Specifica la durata (TTL) della cache dei token di accesso per la particolare esecuzione del criterio. La prima volta che Apigee verifica un token di accesso OAuth 2, deve recuperarlo da un archivio permanente. Si tratta di un'operazione relativamente costosa, pertanto Apigee memorizza nella cache il risultato della ricerca del token, inclusi lo stato del token, l'elenco dei prodotti per cui il token è valido e gli eventuali attributi personalizzati allegati al token. Le invocazioni successive di OAuthV2/VerifyAccessToken fino alla scadenza del TTL leggeranno il risultato memorizzato nella cache in memoria, il che significa che la verifica del token sarà molto più veloce.

Il TTL predefinito per la cache dei token di accesso è di 180 secondi. Questo elemento ti consente di ridurre il TTL, scambiando il rendimento con la correttezza. Uno scenario in cui ciò avrebbe senso è se a volte revochi i token e vuoi ridurre la finestra temporale durante la quale Apigee continuerà a trattare i token revocati come validi.

L'intervallo supportato è compreso tra 1 e 180 secondi. Puoi fornire una variabile di flusso e un valore predefinito. Se fornisci una variabile di flusso e se contiene un valore numerico, ha la precedenza sul valore predefinito specificato.

Attributi

La tabella seguente descrive gli attributi dell'elemento <CacheExpiryInSeconds>.

Elemento <ClientId>

<ClientId>request.formparam.client_id</ClientId>

In diversi casi, l'app client deve inviare l'ID client al server di autorizzazione. Questo elemento specifica che Apigee deve cercare l'ID client nella variabile di flusso request.formparam.client_id. L'impostazione di ClientId su qualsiasi altra variabile non è supportata. Vedi anche Recuperare i token OAuth 2.0.

Elemento <Code>

<Code>request.queryparam.code</Code>

Nel flusso del tipo di concessione di autorizzazione, il client deve inviare un codice di autorizzazione al server di autorizzazione (Apigee). Questo elemento ti consente di specificare dove Apigee deve cercare il codice di autorizzazione. Ad esempio, può essere inviato come parametro di query, intestazione HTTP o parametro del modulo (impostazione predefinita).

La variabile request.queryparam.auth_code indica che il codice di autorizzazione deve essere presente come parametro di query, ad esempio ?auth_code=AfGlvs9. Per richiedere il codice di autorizzazione in un'intestazione HTTP, ad esempio, imposta questo valore su request.header.auth_code. Vedi anche Recuperare i token OAuth 2.0.

Elemento <ExpiresIn>

<ExpiresIn>10000</ExpiresIn>

Applica il tempo di scadenza dei token di accesso e dei codici di autorizzazione in millisecondi. (Per i token di aggiornamento, utilizza <RefreshTokenExpiresIn>.) Il valore della scadenza è un valore generato dal sistema più il valore <ExpiresIn>. Se <ExpiresIn> non è specificato, il sistema applica un valore predefinito configurato a livello di sistema.

Il tempo di scadenza può essere impostato anche in fase di runtime utilizzando un valore predefinito hardcoded o facendo riferimento a una variabile di flusso. Ad esempio, puoi memorizzare un valore di scadenza del token in una mappa chiave-valore, recuperarlo, assegnarlo a una variabile e farvi riferimento nel criterio. Ad esempio, kvm.oauth.expires_in.

Apigee mantiene le seguenti entità nella cache per un minimo di 180 secondi dopo che le entità sono state accessibili.

• Token di accesso OAuth. Ciò significa che l'elemento ExpiresIn nel criterio OAuth v2 non potrà far scadere un token di accesso in meno di 180 secondi.
• Entità Key Management Service (KMS) (app, sviluppatori, prodotti API).
• Attributi personalizzati su token OAuth ed entità KMS.

La seguente strofa specifica anche una variabile di flusso e un valore predefinito. Tieni presente che il valore della variabile di flusso ha la precedenza sul valore predefinito specificato.

<ExpiresIn ref="kvm.oauth.expires_in">
    3600000 <!--default value in milliseconds-->
</ExpiresIn>

Apigee non supporta un modo per forzare la scadenza di un token dopo la sua creazione. Se devi forzare la scadenza del token (ad esempio, in base a una condizione), una possibile soluzione è descritta in questo post della community Apigee.

Per impostazione predefinita, i token di accesso scaduti vengono eliminati automaticamente dal sistema Apigee 3 giorni dopo la scadenza. Vedi anche Eliminazione dei token di accesso

Elemento <ExternalAccessToken>

<ExternalAccessToken>request.queryparam.external_access_token</ExternalAccessToken>

Indica ad Apigee dove trovare un token di accesso esterno (un token di accesso non generato da Apigee).

La variabile request.queryparam.external_access_token indica che il token di accesso esterno deve essere presente come parametro di query, ad esempio ?external_access_token=12345678. Per richiedere il token di accesso esterno in un'intestazione HTTP, ad esempio, imposta questo valore su request.header.external_access_token. Vedi anche Utilizzo di token OAuth di terze parti.

Elemento <ExternalAuthorization>

<ExternalAuthorization>true</ExternalAuthorization>

Se questo elemento è false o non è presente, Apigee convalida client_id e client_secret normalmente rispetto all'archivio di autorizzazione Apigee. Utilizza questo elemento quando vuoi lavorare con token OAuth di terze parti. Per informazioni dettagliate sull'utilizzo di questo elemento, vedi Utilizzo di token OAuth di terze parti.

Elemento <ExternalAuthorizationCode>

<ExternalAuthorizationCode>request.queryparam.external_auth_code</ExternalAuthorizationCode>

Indica ad Apigee dove trovare un codice di autorizzazione esterno (un codice di autorizzazione non generato da Apigee).

La variabile request.queryparam.external_auth_code indica che il codice di autorizzazione esterno deve essere presente come parametro di query, ad esempio ?external_auth_code=12345678. Per richiedere il codice di autenticazione esterno in un'intestazione HTTP, ad esempio, imposta questo valore su request.header.external_auth_code. Vedi anche Utilizzo di token OAuth di terze parti.

Elemento <ExternalRefreshToken>

<ExternalRefreshToken>request.queryparam.external_refresh_token</ExternalRefreshToken>

Indica ad Apigee dove trovare un token di aggiornamento esterno (un token di aggiornamento non generato da Apigee).

La variabile request.queryparam.external_refresh_token indica che il token di aggiornamento esterno deve essere presente come parametro di query, ad esempio ?external_refresh_token=12345678. Per richiedere il token di aggiornamento esterno in un'intestazione HTTP, ad esempio, imposta questo valore su request.header.external_refresh_token. Vedi anche Utilizzo di token OAuth di terze parti.

Elemento <GenerateResponse>

<GenerateResponse enabled='true'/>

Se è impostato su true o se l'attributo enabled viene omesso, il criterio genera e restituisce una risposta. Ad esempio, per GenerateAccessToken, la risposta potrebbe essere simile a questa:

{
  "issued_at" : "1467841035013",
  "scope" : "read",
  "application_name" : "e31b8d06-d538-4f6b-9fe3-8796c11dc930",
  "refresh_token_issued_at" : "1467841035013",
  "status" : "approved",
  "refresh_token_status" : "approved",
  "api_product_list" : "[Product1, nhl_product]",
  "expires_in" : "1799",
  "developer.email" : "edward@slalom.org",
  "token_type" : "BearerToken",
  "refresh_token" : "rVSmm3QaNa0xBVFbUISz1NZI15akvgLJ",
  "client_id" : "Adfsdvoc7KX5Gezz9le745UEql5dDmj",
  "access_token" : "AnoHsh2oZ6EFWF4h0KrA0gC5og3a",
  "organization_name" : "cerruti",
  "refresh_token_expires_in" : "0",
  "refresh_count" : "0"
}

Se impostato su false o se l'elemento <GenerateResponse> viene omesso, non viene inviata alcuna risposta. Viene invece compilato un insieme di variabili di flusso con valori correlati alla funzione del criterio. Ad esempio, una variabile di flusso chiamata oauthv2authcode.OAuthV2-GenerateAuthorizationCode.code viene compilata con il codice di autorizzazione appena generato. Tieni presente che expires_in è espresso in secondi nella risposta.

Elemento <GenerateErrorResponse>

<GenerateErrorResponse enabled='true'/>

Se impostato su true, il criterio genera e restituisce una risposta se l'attributo ContinueOnError è impostato su true. Se false (il valore predefinito), non viene inviata alcuna risposta. Viene invece compilato un insieme di variabili di flusso con valori correlati alla funzione del criterio.

<GrantType>

<GrantType>request.queryparam.grant_type</GrantType>

Indica alla policy dove trovare il parametro del tipo di concessione passato in una richiesta. In base alla specifica OAuth 2.0, il tipo di concessione deve essere fornito con le richieste di token di accesso e codici di autorizzazione. La variabile può essere un'intestazione, un parametro di query o un parametro del modulo (impostazione predefinita).

Ad esempio, request.queryparam.grant_type indica che la password deve essere presente come parametro di query, ad esempio ?grant_type=password. Per richiedere il tipo di concessione in un'intestazione HTTP, ad esempio, imposta questo valore su request.header.grant_type. Vedi anche Recuperare i token OAuth 2.0.

Elemento <Operation>

<Operation>GenerateAuthorizationCode</Operation>

L'operazione OAuth 2.0 eseguita dalla policy.

Elemento <PassWord>

<PassWord>request.queryparam.password</PassWord>

Questo elemento viene utilizzato solo con il tipo di autorizzazione password. Con il tipo di concessione della password, le credenziali utente (password e nome utente) devono essere rese disponibili al criterio OAuthV2. Gli elementi <PassWord> e <UserName> vengono utilizzati per specificare le variabili in cui Apigee può trovare questi valori. Se questi elementi non sono specificati, il criterio prevede di trovare i valori (per impostazione predefinita) nei parametri del modulo denominati username e password. Se i valori non vengono trovati, il criterio genera un errore. Puoi utilizzare gli elementi <PassWord> e <UserName> per fare riferimento a qualsiasi variabile di flusso contenente le credenziali.

Ad esempio, puoi trasmettere la password in una richiesta di token utilizzando un parametro di query e impostare l'elemento nel seguente modo: <PassWord>request.queryparam.password</PassWord>. Per richiedere la password in un'intestazione HTTP, imposta questo valore su request.header.password.

Il criterio OAuthV2 non esegue altre operazioni con questi valori delle credenziali; Apigee verifica semplicemente che siano presenti. Spetta allo sviluppatore dell'API recuperare la richiesta di valori e inviarli a un provider di identità prima dell'esecuzione della policy di generazione dei token.

Vedi anche Recuperare i token OAuth 2.0.

<PrivateKey>/<Value>

<PrivateKey>
  <Value ref="variable-name-here"/>
</PrivateKey>

Fornisce la chiave privata utilizzata per verificare o firmare token di accesso in formato JWT con un algoritmo RSA. Utilizza l'attributo ref per passare la chiave in una variabile di flusso. Utilizza solo quando il valore dell'elemento Algorithm è RS256, RS384 o RS512. Per maggiori informazioni, consulta Utilizzo delle operazioni sui token OAuth JWT.

<PublicKey>/<Value>

<PublicKey>
   <Value ref="variable-name-here"/>
</PublicKey>

Specifica la chiave pubblica o il certificato pubblico utilizzato per verificare la firma di un token di accesso in formato JWT firmato con un algoritmo RSA. Utilizza l'attributo ref per trasferire la chiave/il certificato in una variabile di flusso. Utilizza solo quando il valore dell'elemento Algorithm è RS256, RS384 o RS512.

Elemento <RedirectUri>

<RedirectUri>request.queryparam.redirect_uri</RedirectUri>

Specifica dove Apigee deve cercare il parametro redirect_uri nella richiesta.

Informazioni sugli URI di reindirizzamento

Gli URI di reindirizzamento vengono utilizzati con i tipi di autorizzazione del codice di autorizzazione e implicita. L'URI di reindirizzamento indica al server di autorizzazione (Apigee) dove inviare un codice di autorizzazione (per il tipo di concessione del codice di autorizzazione) o un token di accesso (per il tipo di concessione implicita). È importante capire quando questo parametro è obbligatorio, quando è facoltativo e come viene utilizzato:

• (obbligatorio) Se un URL di callback è registrato nell'app per sviluppatori associata alle chiavi client della richiesta e se redirect_uri è presente nella richiesta, i due devono corrispondere esattamente. Se non corrispondono, viene restituito un errore. Per informazioni sulla registrazione delle app per sviluppatori su Apigee e sulla specifica di un URL di callback, consulta Registrare app e gestire le chiavi API.

• (facoltativo) Se è registrato un URL di callback e redirect_uri non è presente nella richiesta, Apigee reindirizza all'URL di callback registrato.
• (obbligatorio) Se non è registrato un URL di callback, è obbligatorio redirect_uri. Tieni presente che in questo caso Apigee accetterà QUALSIASI URL. Questo caso può presentare un problema di sicurezza e pertanto deve essere utilizzato solo con app client attendibili. Se le app client non sono attendibili, la best practice consiste nel richiedere sempre la registrazione di un URL di callback.

Puoi inviare questo parametro in un parametro di query o in un'intestazione. La variabile request.queryparam.redirect_uri indica che RedirectUri deve essere presente come parametro di query, ad esempio ?redirect_uri=login.myapp.com. Per richiedere RedirectUri in un'intestazione HTTP, ad esempio, imposta questo valore su request.header.redirect_uri. Vedi anche Recuperare i token OAuth 2.0.

Elemento <RefreshToken>

<RefreshToken>request.queryparam.refreshtoken</RefreshToken>

Quando richiedi un token di accesso utilizzando un token di aggiornamento, devi fornire il token di aggiornamento nella richiesta. Questo elemento consente di specificare dove Apigee deve cercare il token di aggiornamento. Ad esempio, può essere inviato come parametro di query, intestazione HTTP o parametro del modulo (impostazione predefinita).

La variabile request.queryparam.refreshtoken indica che il token di aggiornamento deve essere presente come parametro di query, ad esempio ?refresh_token=login.myapp.com. Per richiedere il RefreshToken in un'intestazione HTTP, ad esempio, imposta questo valore su request.header.refresh_token. Vedi anche Recuperare i token OAuth 2.0.

Elemento <RefreshTokenExpiresIn>

<RefreshTokenExpiresIn>1000</RefreshTokenExpiresIn>

Applica il tempo di scadenza dei token di aggiornamento in millisecondi. Il valore dell'ora di scadenza è un valore generato dal sistema più il valore <RefreshTokenExpiresIn>. Se <RefreshTokenExpiresIn> non è specificato, il sistema applica il valore predefinito.

Il tempo di scadenza può essere impostato anche in fase di runtime utilizzando un valore predefinito hardcoded o facendo riferimento a una variabile di flusso. Ad esempio, puoi memorizzare un valore di scadenza del token in una mappa chiave-valore, recuperarlo, assegnarlo a una variabile e farvi riferimento nel criterio. Ad esempio, kvm.oauth.expires_in.

La seguente strofa specifica anche una variabile di flusso e un valore predefinito. Tieni presente che il valore della variabile del flusso ha la precedenza sul valore predefinito specificato.

<RefreshTokenExpiresIn ref="kvm.oauth.expires_in">
    86400000 <!--value in milliseconds-->
</RefreshTokenExpiresIn>

Elemento <ResponseType>

<ResponseType>request.queryparam.response_type</ResponseType>

Questo elemento indica ad Apigee il tipo di concessione richiesto dall'app client. Viene utilizzato solo con i flussi di autorizzazione del codice e del tipo di autorizzazione implicit.

Per impostazione predefinita, Apigee cerca il valore del tipo di risposta in un parametro di query response_type. Se vuoi ignorare questo comportamento predefinito, utilizza l'elemento <ResponseType> per configurare una variabile di flusso contenente il valore del tipo di risposta. Ad esempio, se imposti questo elemento su request.header.response_type, Apigee cerca il tipo di risposta da trasmettere nell'intestazione della richiesta. Vedi anche Recuperare i token OAuth 2.0.

Elemento <ReuseRefreshToken>

<ReuseRefreshToken>true</ReuseRefreshToken>

Se impostato su true, il token di aggiornamento esistente viene riutilizzato fino alla scadenza. Se false, Apigee emette un nuovo token di aggiornamento quando viene presentato un token di aggiornamento valido.

Elemento <RFCCompliantRequestResponse>

<RFCCompliantRequestResponse>[true | false]</RFCCompliantRequestResponse>

Quando true, il criterio è conforme agli standard RFC6749 e consente i seguenti comportamenti conformi:

• Le risposte di errore e non di errore includeranno il campo di intestazione della risposta HTTP Cache-Control per rispettare la RFC2616 (Hypertext Transfer Protocol -- HTTP/1.1), con un valore no-store in qualsiasi risposta contenente token, credenziali o altre informazioni sensibili, nonché il campo di intestazione della risposta Pragma con un valore no-cache.
• La proprietà expires_in sarà in formato alfanumerico. Per coerenza, anche il refresh_token_expires_in sarà alfanumerico.
• Le risposte OAuthV2 per la generazione di token includeranno il campo di intestazione Bearer conforme a RFC anziché BearerToken.
• I messaggi di errore nei payload di risposta avranno il formato {"error" : "xxx", "error_description" :"yyy"} per gli errori del token di aggiornamento.

<SecretKey>/<Value>

<SecretKey>
  <Value ref="your-variable-name"/>
</SecretKey>

Fornisce la chiave segreta utilizzata per verificare o firmare i token di accesso in formato JWT con un algoritmo HMAC. Utilizzare solo quando l'algoritmo è HS256, HS384 o HS512. Utilizza l'attributo ref per passare la chiave in una variabile di flusso. Per maggiori informazioni, consulta Utilizzo delle operazioni sui token OAuth JWT.

Apigee applica una solidità minima della chiave per gli algoritmi HS256/HS384/HS512. La lunghezza minima della chiave per HS256 è di 32 byte, per HS384 è di 48 byte e per HS512 è di 64 byte. L'utilizzo di una chiave con una potenza inferiore causa un errore di runtime.

Elemento <Scope>

<Scope>request.queryparam.scope</Scope>

Se questo elemento è presente in uno dei criteri GenerateAccessToken o GenerateAuthorizationCode, viene utilizzato per specificare gli ambiti da concedere al token o al codice. Questi valori vengono in genere passati al criterio nella richiesta da un'app client. Puoi configurare l'elemento in modo che accetti una variabile di flusso, offrendoti la possibilità di scegliere come vengono passati gli ambiti in una richiesta. Nel seguente esempio, request.queryparam.scope indica che l'ambito deve essere presente come parametro di query, ad esempio ?scope=READ. Per richiedere l'ambito in un'intestazione HTTP, ad esempio, imposta questo valore su request.header.scope.

Se questo elemento viene visualizzato in un criterio "VerifyAccessToken", viene utilizzato per specificare gli ambiti che il criterio deve applicare. In questo tipo di criterio, il valore deve essere un nome di ambito "hardcoded", ovvero non puoi utilizzare variabili. Ad esempio:

<Scope>A B</Scope>

Vedi anche Utilizzo degli ambiti OAuth2 e Recuperare i token OAuth 2.0.

Elemento <State>

<State>request.queryparam.state</State>

Nei casi in cui l'app client deve inviare le informazioni sullo stato al server di autorizzazione, questo elemento ti consente di specificare dove Apigee deve cercare i valori dello stato. Ad esempio, potrebbe essere inviato come parametro di query o in un'intestazione HTTP. Il valore dello stato viene in genere utilizzato come misura di sicurezza per prevenire attacchi CSRF.

Ad esempio, request.queryparam.state indica che lo stato deve essere presente come parametro di query, ad esempio ?state=HjoiuKJH32. Per richiedere lo stato in un'intestazione HTTP, ad esempio, imposta questo valore su request.header.state. Vedi anche Recuperare i token OAuth 2.0.

Elemento <StoreToken>

 <StoreToken>true</StoreToken>

Imposta questo elemento su true quando l'elemento <ExternalAuthorization> è true. L'elemento <StoreToken> indica ad Apigee di memorizzare il token di accesso esterno. In caso contrario, non verrà mantenuto.

<SupportedGrantTypes>/<GrantType> elemento

<SupportedGrantTypes>
    <GrantType>authorization_code</GrantType>
    <GrantType>client_credentials</GrantType>
    <GrantType>implicit</GrantType>
    <GrantType>password</GrantType>
</SupportedGrantTypes>

Specifica i tipi di concessione supportati da un endpoint token OAuth su Apigee. Un endpoint può supportare più tipi di concessione (ovvero, un singolo endpoint può essere configurato per distribuire token di accesso per più tipi di concessione). Per saperne di più sugli endpoint, vedi Informazioni sugli endpoint OAuth. Il tipo di concessione viene passato nelle richieste di token in un parametro grant_type.

Se non vengono specificati tipi di autorizzazione supportati, gli unici tipi di autorizzazione consentiti sono authorization_code e implicit. Vedi anche l'elemento <GrantType> (che è un elemento di livello superiore utilizzato per specificare dove Apigee deve cercare il parametro grant_type passato in una richiesta client. Apigee si assicurerà che il valore del parametro grant_type corrisponda a uno dei tipi di concessione supportati.

Elemento <Tokens>/<Token>

Utilizzato con le operazioni ValidateToken e InvalidateToken. Vedi anche Approvazione e revoca dei token di accesso. L'elemento <Token> identifica la variabile di flusso che definisce l'origine del token da revocare. Se gli sviluppatori devono inviare token di accesso come parametri di ricercay denominati access_token, ad esempio, utilizza request.queryparam.access_token.

Elemento <UserName>

<UserName>request.queryparam.user_name</UserName>

Questo elemento viene utilizzato solo con il tipo di autorizzazione password. Con il tipo di concessione della password, le credenziali utente (password e nome utente) devono essere rese disponibili al criterio OAuthV2. Gli elementi <PassWord> e <UserName> vengono utilizzati per specificare le variabili in cui Apigee può trovare questi valori. Se questi elementi non sono specificati, il criterio prevede di trovare i valori (per impostazione predefinita) nei parametri del modulo denominati username e password. Se i valori non vengono trovati, il criterio genera un errore. Puoi utilizzare gli elementi <PassWord> e <UserName> per fare riferimento a qualsiasi variabile di flusso contenente le credenziali.

Ad esempio, puoi trasmettere il nome utente in un parametro di query e impostare l'elemento <UserName> nel seguente modo: <UserName>request.queryparam.username</UserName>.Per richiedere il nome utente in un'intestazione HTTP, imposta questo valore su request.header.username.

Il criterio OAuthV2 non esegue altre operazioni con questi valori delle credenziali; Apigee verifica semplicemente che siano presenti. Spetta allo sviluppatore dell'API recuperare la richiesta di valori e inviarli a un provider di identità prima dell'esecuzione della policy di generazione dei token.

Vedi anche Recuperare i token OAuth 2.0.

Verifica dei token di accesso

Una volta configurato un endpoint token per un proxy API, al flusso che espone la risorsa protetta viene collegato un criterio OAuthV2 corrispondente che specifica l'operazione VerifyAccessToken.

Ad esempio, per assicurarti che tutte le richieste a un'API siano autorizzate, la seguente policy impone la verifica del token di accesso:

<OAuthV2 name="VerifyOAuthAccessToken">
  <Operation>VerifyAccessToken</Operation>
</OAuthV2>

Il criterio è associato alla risorsa API da proteggere. Per assicurarti che tutte le richieste a un'API siano verificate, collega la policy al PreFlow della richiesta ProxyEndpoint, nel seguente modo:

<PreFlow>
  <Request>
    <Step><Name>VerifyOAuthAccessToken</Name></Step>
  </Request>
</PreFlow>

I seguenti elementi facoltativi possono essere utilizzati per eseguire l'override delle impostazioni predefinite per l'operazione VerifyAccessToken.

<OAuthV2 name="ValidateOauthScopePolicy">
  <Operation>VerifyAccessToken</Operation>
  <Scope>READ WRITE</Scope>
</OAuthV2>

Vedi anche Verifica dei token di accesso e Ottenere token OAuth 2.0.

Specificare le posizioni delle variabili di richiesta

Per ogni tipo di concessione, i criteri fanno ipotesi sulla posizione o sulle informazioni richieste nei messaggi di richiesta. Queste ipotesi si basano sulla specifica OAuth 2.0. Se le tue app devono discostarsi dalla specifica OAuth 2.0, puoi specificare le posizioni previste per ogni parametro. Ad esempio, quando gestisci un codice di autorizzazione, puoi specificare la posizione del codice di autorizzazione, l'ID client, l'URI di reindirizzamento e l'ambito. Questi possono essere specificati come intestazioni HTTP, parametri di ricerca o parametri del modulo.

L'esempio seguente mostra come specificare la posizione dei parametri del codice di autorizzazione richiesti come intestazioni HTTP:

  ...
  <GrantType>request.header.grant_type</GrantType>
  <Code>request.header.code</Code>
  <ClientId>request.header.client_id</ClientId>
  <RedirectUri>request.header.redirect_uri</RedirectUri>
  <Scope>request.header.scope</Scope>
  ...

In alternativa, se necessario per supportare la base di app client, puoi combinare intestazioni e parametri della query:

  ...
  <GrantType>request.header.grant_type</GrantType>
  <Code>request.header.code</Code>
  <ClientId>request.queryparam.client_id</ClientId>
  <RedirectUri>request.queryparam.redirect_uri</RedirectUri>
  <Scope>request.queryparam.scope</Scope>
  ...

È possibile configurare una sola posizione per parametro.

Variabili di flusso

Le variabili di flusso definite in questa tabella vengono compilate quando vengono eseguite le rispettive policy OAuth e sono quindi disponibili per altre policy o applicazioni eseguite nel flusso del proxy API.

Operazione VerifyAccessToken

Quando viene eseguita l'operazione VerifyAccessToken, un gran numero di variabili di flusso viene compilato nel contesto di esecuzione del proxy. Queste variabili forniscono proprietà relative al token di accesso, all'app sviluppatore e allo sviluppatore. Puoi utilizzare una policy AssignMessage o JavaScript, ad esempio, per leggere una qualsiasi di queste variabili e utilizzarle in base alle esigenze in un secondo momento nel flusso. Queste variabili possono essere utili anche per scopi di debug.

Variabili specifiche per il token

Variabili specifiche per le app

Queste variabili sono correlate all'app per sviluppatori associata al token.

Variabili specifiche per AppGroup

Le seguenti variabili di flusso contengono informazioni sul AppGroup per il token e vengono compilate dal criterio. Questi attributi AppGroup vengono compilati solo se verifyapikey.{policy_name}.app.appType è "AppGroup".

Variabili specifiche per gli sviluppatori

Se app.appType è "Developer", vengono compilati gli attributi dello sviluppatore.

Operazione GenerateAuthorizationCode

Queste variabili vengono impostate quando l'operazione GenerateAuthorizationCode viene eseguita correttamente:

Prefisso: oauthv2authcode.{policy_name}.{variable_name}

Esempio: oauthv2authcode.GenerateCodePolicy.code

Operazioni GenerateAccessToken e RefreshAccessToken

Queste variabili vengono impostate quando le operazioni GenerateAccessToken e RefreshAccessToken vengono eseguite correttamente. Tieni presente che le variabili del token di aggiornamento non si applicano al flusso del tipo di concessione delle credenziali client.

Prefisso: oauthv2accesstoken.{policy_name}.{variable_name}

Esempio: oauthv2accesstoken.GenerateTokenPolicy.access_token

GenerateAccessTokenImplicitGrant

Queste variabili vengono impostate quando l'operazione GenerateAccessTokenImplicit viene eseguita correttamente per il flusso del tipo di concessione implicita.

Prefisso: oauthv2accesstoken.{policy_name}.{variable_name}

Esempio: oauthv2accesstoken.RefreshTokenPolicy.access_token

Riferimento agli errori

Questa sezione descrive i codici di errore e i messaggi di errore restituiti e le variabili di errore impostate da Apigee quando questo criterio attiva un errore. Queste informazioni sono importanti se stai sviluppando regole di errore per gestire gli errori. Per scoprire di più, consulta Informazioni importanti sugli errori relativi alle norme e Gestione degli errori.

Errori di runtime

Questi errori possono verificarsi durante l'esecuzione del criterio.

Errori di runtime specifici del token JWT

I codici e le descrizioni degli errori di runtime per i flussi di token di autenticazione JWT dipendono dal contesto del flusso OAuth2:

• Se il contesto del flusso è la generazione o l'aggiornamento del token, consulta Codici di errore per i flussi di generazione e aggiornamento dei token JWT di seguito.
• Per il flusso di verifica del token, consulta la sezione Codici di errore per i flussi di verifica del token di seguito.

Codici di errore per i flussi di generazione e aggiornamento dei token JWT

Per i flussi OAuth2 che generano o aggiornano i token JWT, le risposte di errore devono rispettare quelle specificate in RFC6749. Per maggiori dettagli, consulta la sezione 5.2 Risposta di errore.

Codici di errore per il flusso di verifica del token

I codici di errore elencati nella tabella seguente si applicano solo all'operazione VerifyAccessToken.

Errori di deployment

Questi errori possono verificarsi quando esegui il deployment di un proxy contenente questo criterio.

Errori di deployment specifici per i token JWT

Questi errori di deployment sono specifici dei criteri che utilizzano le operazioni sui token JWT.

Variabili di errore

Queste variabili vengono impostate quando questo criterio attiva un errore in fase di esecuzione.

Esempio di risposta di errore

Queste risposte vengono inviate al client se l'elemento <GenerateResponse> è true.

Se <GenerateResponse> è true, il criterio restituisce errori in questo formato per le operazioni che generano token e codici. Per un elenco completo, consulta Riferimento alle risposte di errore HTTP OAuth.

{"ErrorCode" : "invalid_client", "Error" :"ClientId is Invalid"}

Se <GenerateResponse> è true, il criterio restituisce errori in questo formato per le operazioni di verifica e convalida. Per un elenco completo, consulta la documentazione di riferimento per le risposte di errore HTTP OAuth.

{  
   {  
      "fault":{  
         "faultstring":"Invalid Access Token",
         "detail":{  
            "errorcode":"keymanagement.service.invalid_access_token"
         }
      }
   }

Esempio di regola di errore

<FaultRule name="OAuthV2 Faults">
    <Step>
        <Name>AM-InvalidClientResponse</Name>
        <Condition>(fault.name = "invalid_client") OR (fault.name = "InvalidClientIdentifier")</Condition>
    </Step>
    <Step>
        <Name>AM-InvalidTokenResponse</Name>
        <Condition>(fault.name = "invalid_access_token")</Condition>
    </Step>
    <Condition>(oauthV2.failed = true) </Condition>
</FaultRule>

I token in Storage sono sottoposti ad hashing

Se utilizzi Apigee hybrid o Apigee, i token di accesso e di aggiornamento OAuthV2 vengono sottoposti a hashing per impostazione predefinita quando vengono archiviati nel database Cassandra di runtime. L'hashing impedisce l'utilizzo dei token in caso di compromissione del database.

Utilizzo della configurazione OAuth predefinita

Ogni organizzazione (anche un'organizzazione di prova gratuita) su Apigee viene sottoposta al provisioning con un endpoint token OAuth. L'endpoint è preconfigurato con le policy nel proxy API denominato oauth. Puoi iniziare a utilizzare l'endpoint token non appena crei un account su Apigee. Per maggiori dettagli, vedi Informazioni sugli endpoint OAuth.

Eliminazione dei token di accesso

Per impostazione predefinita, i token OAuth2 vengono eliminati dal sistema Apigee 3 giorni (259.200 secondi) dopo la scadenza sia del token di accesso sia del token di aggiornamento (se esistente).

Comportamento non conforme alla normativa RFC

Per impostazione predefinita, la policy OAuthV2, con l'operazione GenerateAccessToken, restituisce una risposta del token che contiene determinate proprietà non conformi alla RFC. La tabella seguente mostra le proprietà non conformi restituite dal criterio OAuthV2 e le proprietà conformi corrispondenti.

Inoltre, la risposta di errore per un token di aggiornamento scaduto quando grant_type = refresh_token è:

{"ErrorCode" : "InvalidRequest", "Error" :"Refresh Token expired"}

Tuttavia, la risposta conforme alla RFC è:

{"error" : "invalid_grant", "error_description" :"refresh token expired"}

Argomenti correlati

• Introduzione a OAuth 2.0