Criterio BasicAuthentication

Questa pagina si applica ad Apigee e Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

icona delle norme

Cosa

Ti consente di utilizzare l'autenticazione di base leggera per la sicurezza dell'ultimo miglio. Il criterio prende un nome utente e una password, li codifica in Base64 e scrive il valore risultante in una variabile. Il valore risultante è nel formato Basic Base64EncodedString. In genere, questo valore viene scritto in un'intestazione HTTP, ad esempio l'intestazione Authorization.

Il criterio consente inoltre di decodificare le credenziali memorizzate in una stringa con codifica Base64 in un nome utente e una password.

Questo criterio è un criterio estensibile e il suo utilizzo potrebbe comportare implicazioni in termini di costi o utilizzo, a seconda della licenza Apigee. Per informazioni sui tipi di criteri e sulle implicazioni per l'utilizzo, consulta Tipi di criteri.

Video: questo video mostra come codificare in base64 un nome utente e una password utilizzando il criterio di autenticazione di base.

Video: questo video mostra come decodificare un nome utente e una password codificati in base64 utilizzando il criterio di autenticazione di base.

Esempi

Codifica in uscita

<BasicAuthentication name="ApplyBasicAuthHeader">
   <DisplayName>ApplyBasicAuthHeader</DisplayName>
   <Operation>Encode</Operation>
   <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
   <User ref="BasicAuth.credentials.username" />
   <Password ref="BasicAuth.credentials.password" />
   <AssignTo createNew="false">request.header.Authorization</AssignTo>
</BasicAuthentication>

Nella configurazione del criterio di esempio riportata sopra, il nome utente e la password da codificare sono ricavati dalle variabili specificate dagli attributi ref negli elementi <User> e <Password>. Le variabili devono essere impostate prima dell'esecuzione di questo criterio. In genere, le variabili vengono compilate con valori che vengonoletti da una mappa chiave/valore. Consulta le norme relative alle operazioni con le mappe chiave-valore.

Questa configurazione fa sì che l'intestazione HTTP denominata Authorization, come specificato dall'elemento <AssignTo>, venga aggiunta al messaggio di richiesta in uscita inviato al server di backend:

Authorization: Basic TXlVc2VybmFtZTpNeVBhc3N3b3Jk

I valori <User> e <Password> vengono concatenati con due punti prima della codifica Base64.

Supponiamo che tu abbia una mappa chiave/valore con la seguente voce:

{
  "encrypted" : true,
  "entry" : [ {
    "name" : "username",
    "value" : "MyUsername
  }, {
    "name" : "password",
    "value" : "MyPassword
  } ],
  "name" : "BasicAuthCredentials"
}
      

Collega i seguenti criteri KeyValueMapOperations prima del criterio BasicAuthentication per poter estrarre i valori per gli elementi <User> e <Password> dallo spazio dati chiave/valore e inserirli nelle variabili credentials.username e credentials.password.

<KeyValueMapOperations name="getCredentials" mapIdentifier="BasicAuthCredentials">
  <Scope>apiproxy</Scope>
  <Get assignTo="credentials.username" index='1'>
    <Key>
      <Parameter>username</Parameter>
    </Key>
  </Get>
  <Get assignTo="credentials.password" index='1'>
    <Key>
      <Parameter>password</Parameter>
    </Key>
  </Get>
</KeyValueMapOperations>
      

Decodifica in entrata

<BasicAuthentication name="DecodeBaseAuthHeaders">
   <DisplayName>Decode Basic Authentication Header</DisplayName>
   <Operation>Decode</Operation>
   <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
   <User ref="request.header.username" />
   <Password ref="request.header.password" />
   <Source>request.header.Authorization</Source>
</BasicAuthentication>

In questo esempio di criterio, il criterio decodifica il nome utente e la password dall'Authorization intestazione HTTP, come specificato dall'elemento <Source>. La stringa con codifica Base64 deve avere la forma Basic Base64EncodedString.

Il criterio scrive il nome utente decodificato nella variabile request.header.username e la password decodificata nella variabile request.header.password.


Informazioni sui criteri di autenticazione di base

Il criterio ha due modalità di funzionamento:

  • Codifica: codifica in Base64 un nome utente e una password memorizzati nelle variabili
  • Decodifica: decodifica il nome utente e la password da una stringa con codifica Base64

Il nome utente e la password vengono in genere memorizzati nello spazio chiavi/valori e poi letti da questo spazio in fase di esecuzione. Per informazioni dettagliate sull'utilizzo dell'archivio chiavi/valori, consulta i Criteri relativi alle operazioni sulle mappe chiave-valore.

Riferimento elemento

Il riferimento all'elemento descrive gli elementi e gli attributi del criterio BasicAuthentication.

<BasicAuthentication async="false" continueOnError="false" enabled="true" name="Basic-Authentication-1">
   <DisplayName>Basic Authentication 1</DisplayName>
   <Operation>Encode</Operation>
   <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
   <User ref="request.queryparam.username" />
   <Password ref="request.queryparam.password" />
   <AssignTo createNew="false">request.header.Authorization</AssignTo>
   <Source>request.header.Authorization</Source> 
</BasicAuthentication>

Attributi <BasicAuthentication>

<BasicAuthentication async="false" continueOnError="false" enabled="true" name="Basic-Authentication-1">

La tabella seguente descrive gli attributi comuni a tutti gli elementi principali dei criteri:

Attributo Descrizione Predefinito Presenza
name

Il nome interno del criterio. Il valore dell'attributo name può contenere lettere, numeri, spazi, trattini, trattini bassi e punti. Questo valore non può superare i 255 caratteri.

Se vuoi, utilizza l'elemento <DisplayName> per etichettare il criterio nell'editor proxy dell'interfaccia utente di gestione con un nome diverso in linguaggio naturale.

N/D Obbligatorio
continueOnError

Imposta su false per restituire un errore quando un criterio non va a buon fine. Questo è un comportamento previsto per la maggior parte dei criteri.

Imposta su true per continuare l'esecuzione del flusso anche dopo un fallimento del criterio. Vedi anche:

falso Facoltativo
enabled

Imposta su true per applicare il criterio.

Imposta false per disattivare il criterio. Il criterio non verrà applicato anche se rimane collegato a un flusso.

true Facoltativo
async

Questo attributo è stato ritirato.

falso Ritirato

Elemento <DisplayName>

Da utilizzare insieme all'attributo name per etichettare il criterio nell'editor proxy dell'interfaccia utente di gestione con un nome diverso in linguaggio naturale.

<DisplayName>Policy Display Name</DisplayName>
Predefinito

N/D

Se ometti questo elemento, viene utilizzato il valore dell'attributo name del criterio.

Presenza Facoltativo
Tipo Stringa

Elemento <Operation>

Determina se il criterio codifica o decodifica le credenziali in base64.

<Operation>Encode</Operation>
Valore predefinito: N/D
Presenza: Obbligatorio
Tipo:

Stringa.

I valori validi includono:

  • Codifica
  • Decodifica

Elemento <IgnoreUnresolvedVariables>

Se impostato su true, il criterio non genera un errore se non è possibile risolvere una variabile. Se utilizzata nel contesto di un criterio di autenticazione di base, questa impostazione viene in genere impostata su false perché in genere è utile generare un errore se non è possibile trovare un nome utente o una password nelle variabili specificate.

<IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
Valore predefinito: true
Presenza: Facoltativo
Tipo:

Booleano

Elemento <User>

  • Per la codifica, utilizza l'elemento <User> per specificare la variabile contenente il nome utente. I valori di nome utente e password vengono concatenati con due punti prima della codifica Base64.
  • Per la decodifica, specifica la variabile in cui viene scritto il nome utente decodificato.
<User ref="request.queryparam.username" /> 
Valore predefinito: N/D
Presenza: Obbligatorio
Tipo:

N/D

Attributi

Attributo Descrizione Predefinito Presenza
ref

La variabile da cui il criterio legge dinamicamente il nome utente (codifica) o lo scrive (decodifica).

N/D Obbligatorio

Elemento <Password>

  • Per la codifica, utilizza l'elemento <Password> per specificare la variabile contenente la password.
  • Per la decodifica, specifica la variabile in cui viene scritta la password decodificata.
<Password ref="request.queryparam.password" />
Valore predefinito: N/D
Presenza: Obbligatorio
Tipo:

N/D

Attributi

Attributo Descrizione Predefinito Presenza
ref

La variabile da cui il criterio legge dinamicamente la password (codifica) o la scrive (decodifica).

N/D Obbligatorio

Elemento <AssignTo>

Specifica la variabile di destinazione da impostare con il valore codificato o decodificato generato da questo criterio.

L'esempio seguente indica che il criterio deve impostare l'intestazione Authorization del messaggio sul valore generato:

<AssignTo createNew="false">request.header.Authorization</AssignTo>
Valore predefinito: N/D
Presenza: Obbligatorio
Tipo:

Stringa

Attributi

Attributo Descrizione Predefinito Presenza
createNew Determina se il criterio deve sovrascrivere la variabile se è già impostata.

Se il valore è "false", l'assegnazione alla variabile avviene solo se la variabile non è attualmente impostata (null).

Quando il valore è "true", l'assegnazione alla variabile avviene sempre.

In genere, questo attributo viene impostato su "false" (il valore predefinito).

falso Facoltativo

Elemento <Source>

Per la decodifica, la variabile contenente la stringa codificata Base64, nel formato Basic Base64EncodedString. Ad esempio, specifica request.header.Authorization, che corrisponde all'intestazione Authorization.

<Source>request.header.Authorization</Source>
Valore predefinito: N/D
Presenza: Obbligatorio per l'operazione di decodifica.
Tipo:

N/D

Variabili di flusso

La seguente variabile di flusso viene impostata quando il criterio non va a buon fine:

  • BasicAuthentication.{policy_name}.failed (con un valore true)

Messaggi di errore

Questa sezione descrive i codici di errore e i messaggi di errore restituiti e le variabili di errore impostate da Apigee quando questo criterio attiva un errore. Queste informazioni sono importanti se stai sviluppando regole di errore per gestire gli errori. Per scoprire di più, consulta Informazioni importanti sugli errori relativi alle norme e Gestione degli errori.

Errori di runtime

Questi errori possono verificarsi durante l'esecuzione del criterio.

Codice guasto Stato HTTP Causa Correggi
steps.basicauthentication.InvalidBasicAuthenticationSource 500 Durante la decodifica, quando la stringa con codifica Base64 in arrivo non contiene un valore valido o l'intestazione non è formattata correttamente (ad esempio, non inizia con Basic).
steps.basicauthentication.UnresolvedVariable 500 Le variabili di origine richieste per la decodifica o la codifica non sono presenti. Questo errore può verificarsi solo se IgnoreUnresolvedVariables è falso.

Errori di deployment

Questi errori possono verificarsi quando esegui il deployment di un proxy contenente questo criterio.

Nome dell'errore Si verifica quando Correggi
UserNameRequired L'elemento <User> deve essere presente per l'operazione denominata.
PasswordRequired L'elemento <Password> deve essere presente per l'operazione denominata.
AssignToRequired L'elemento <AssignTo> deve essere presente per l'operazione denominata.
SourceRequired L'elemento <Source> deve essere presente per l'operazione denominata.

Variabili di errore

Queste variabili vengono impostate quando si verifica un errore di runtime. Per ulteriori informazioni, consulta Informazioni importanti sugli errori relativi alle norme.

Variabili Dove Esempio
fault.name="fault_name" fault_name è il nome dell'errore, come indicato nella tabella Errori di runtime sopra. Il nome dell'errore è l'ultima parte del codice dell'errore. fault.name Matches "UnresolvedVariable"
BasicAuthentication.policy_name.failed policy_name è il nome specificato dall'utente del criterio che ha generato l'errore. BasicAuthentication.BA-Authenticate.failed = true

Esempio di risposta di errore

{  
   "fault":{  
      "detail":{  
         "errorcode":"steps.basicauthentication.UnresolvedVariable"
      },
      "faultstring":"Unresolved variable : request.queryparam.password"
   }
}

Esempio di regola di errore

<FaultRule name="Basic Authentication Faults">
    <Step>
        <Name>AM-UnresolvedVariable</Name>
        <Condition>(fault.name Matches "UnresolvedVariable") </Condition>
    </Step>
    <Step>
        <Name>AM-AuthFailedResponse</Name>
        <Condition>(fault.name = "InvalidBasicAuthenticationSource")</Condition>
    </Step>
    <Condition>(BasicAuthentication.BA-Authentication.failed = true) </Condition>
</FaultRule>

Schemi

Argomenti correlati

Norme relative alle operazioni della mappa di valori chiave