Esta página se aplica a Apigee y Apigee Hybrid.
Consulta la documentación de
Apigee Edge.
Qué
Decodifica un JWT sin verificar la firma en el JWT. Esto es más útil cuando se usa en conjunto con la política VerifyJWT, cuando se debe conocer el valor de una reclamación desde el JWT antes de verificar la firma del JWT.
La política de decodificación de JWT funciona sin importar el algoritmo que se usó para firmar el JWT. Consulta la descripción general de las políticas de JWS y JWT para obtener una introducción detallada.
Esta es una política estándar y se puede implementar en cualquier tipo de entorno. Para obtener información sobre los tipos de políticas y la disponibilidad con cada tipo de entorno, consulta Tipos de políticas.
Video
Mira un breve video para aprender cómo decodificar un JWT.
Muestra: Decodifica un JWT
La política que se muestra a continuación decodifica un JWT que se encuentra en la variable de flujo var.jwt. Esta variable debe estar presente y contener un JWT viable (decodificable). La política puede obtener el JWT de cualquier variable de flujo.
<DecodeJWT name="JWT-Decode-HS256"> <DisplayName>JWT Verify HS256</DisplayName> <Source>var.jwt</Source> </DecodeJWT>
La política escribe su resultado en variables de contexto para que las políticas o condiciones posteriores en el proxy de API puedan examinar esos valores. Consulta Variables de flujo para obtener una lista de las variables que establece esta política.
Referencia del elemento para decodificación de JWT
La referencia de política describe los elementos y atributos de la política de decodificación de JWS.
Atributos que se aplican al elemento de nivel superior
<DecodeJWT name="JWT" continueOnError="false" enabled="true" async="false">
Los siguientes atributos son comunes a todos los elementos superiores de la política.
| Atributo | Descripción | Valor predeterminado | Presence |
|---|---|---|---|
| name |
El nombre interno de la política. Los caracteres que puede usar en el nombre están restringidos a:
A-Z0-9._\-$ %. Sin embargo, la IU de Apigee aplica restricciones adicionales, como quitar automáticamente los caracteres que no son alfanuméricos.
De forma opcional, usa el elemento |
N/A | Obligatorio |
| continueOnError |
Configúralo como false para devolver un error cuando una política falla. Este es el comportamiento previsto para la mayoría de las políticas.
Configúralo como |
false | Opcional |
| habilitado | Configúralo como true para aplicar la política.Configúralo como |
true | Opcional |
| async | Este atributo dejó de estar disponible. | false | Obsoleto |
<DisplayName>
<DisplayName>Policy Display Name</DisplayName>
Además de usar el atributo de nombre para etiquetar la política en el editor de proxy de IU de Apigee con un nombre diferente y con lenguaje natural.
| Valor predeterminado | Si omites este elemento, se usa el valor del atributo de nombre de la política. |
| Presence | Opcional |
| Tipo | String |
<Source>
<Source>jwt-variable</Source>
Si está presente, especifica la variable de flujo en la que la política espera encontrar el JWS que se decodificará.
| Valor predeterminado | request.header.authorization (consulta la nota anterior para obtener información importante sobre el valor predeterminado). |
| Presence | Opcional |
| Tipo | String |
| Valores válidos | Un nombre de variable de flujo de Apigee. |
Variables de flujo
Si se ejecuta de forma correcta, las políticas de verificación de JWT y decodificación de JWT establecen variables de contexto según este patrón:
jwt.{policy_name}.{variable_name}
Por ejemplo, si el nombre de la política es jwt-parse-token, la política almacenará el asunto especificado en el JWT en esta variable de contexto: jwt.jwt-parse-token.decoded.claim.sub
(Para la retrocompatibilidad, también estará disponible en jwt.jwt-parse-token.claim.subject).
| Nombre de la variable | Descripción |
|---|---|
claim.audience |
La reclamación de público de JWT. Este valor puede ser una string o un arreglo de strings. |
claim.expiry |
La fecha y hora de vencimiento, expresada en segundos desde el ciclo de entrenamiento. |
claim.issuedat |
La fecha en que se emitió el token, expresada en segundos desde el ciclo de entrenamiento. |
claim.issuer |
La reclamación de la entidad emisora de JWT. |
claim.notbefore |
Si el JWT incluye una reclamación nbf, esta variable contendrá el valor, expresado en milisegundos desde el ciclo de entrenamiento. |
claim.subject |
La reclamación del asunto de JWT. |
claim.name |
El valor de la reclamación con nombre (estándar o adicional) en la carga útil. Uno de estos se configurará para cada reclamación en la carga útil. |
decoded.claim.name |
El valor JSON analizable de la reclamación con nombre (estándar o adicional) en la carga útil. Se configura una variable para cada reclamación en la carga útil. Por ejemplo, puedes usar decoded.claim.iat para recuperar la hora de emisión del JWT, expresada en segundos desde el ciclo de entrenamiento. Si bien también puedes usar las variables de flujo claim.name, esta es la variable recomendada para acceder a una reclamación. |
decoded.header.name |
El valor JSON analizable de un encabezado en la carga útil. Se configura una variable para cada encabezado de la carga útil. Si bien también puedes usar las variables de flujo header.name, esta es la variable recomendada para acceder a un encabezado. |
expiry_formatted |
La fecha y hora de vencimiento, con formato de string legible. Ejemplo: 2017-09-28T21:30:45.000+0000 |
header.algorithm |
El algoritmo de firma que se usa en el JWT. Por ejemplo, RS256, HS384, etcétera. Consulta Parámetro de encabezado (algoritmo) para obtener más información. |
header.kid |
El ID de clave, si se agregó cuando se generó el JWT. Consulta también “Usa el conjunto de claves web de JSON (JWKS)” en la descripción general de las políticas de JWT para verificar uno. Consulta el Parámetro de encabezado (ID de clave) para obtener más información. |
header.type |
Se configurará como JWT. |
header.name |
El valor del encabezado con nombre (estándar o adicional). Uno de estos se establecerá para cada encabezado adicional en la parte del encabezado del JWT. |
header-json |
El encabezado en formato JSON |
is_expired |
True o False |
payload-claim-names |
Un arreglo de reclamaciones compatibles con JWT. |
payload-json |
La carga útil en formato JSON.
|
seconds_remaining |
La cantidad de segundos antes de que venza el token. Si el token venció, este número será negativo. |
time_remaining_formatted |
El tiempo restante antes de que el token venza, con el formato de una string legible. Ejemplo: 00:59:59.926 |
valid |
En el caso de VerifyJWT, esta variable será verdadera cuando se verifique la firma y la hora actual será anterior al vencimiento del token y, si están presentes, después del valor notBefore. De lo contrario, es falso.
En el caso de DecodeJWT, esta variable no está configurada. |
Referencia de errores
En esta sección, se describen los códigos de falla y los mensajes de error que se muestran, y las variables de falla que establece Apigee cuando esta política activa un error. Esta información es importante para saber si estás desarrollando reglas de fallas con el propósito de manejar fallas. Para obtener más información, consulta Qué debes saber sobre los errores de políticas y Cómo solucionar fallas.
Errores de entorno de ejecución
Estos errores pueden producirse cuando se ejecuta la política.
| Código de falla | Estado de HTTP | Causa | Corregir |
|---|---|---|---|
steps.jwt.FailedToDecode |
401 |
Ocurre cuando la política no puede decodificar el JWT. El JWT puede tener errores de formato, no es válido o no se puede decodificar. | build |
steps.jwt.FailedToResolveVariable |
401 |
Ocurre cuando la variable de flujo especificada en el elemento <Source> de la política no existe. |
|
steps.jwt.InvalidToken |
401 |
Ocurre cuando la variable de flujo especificada en el elemento <Source> de la política está fuera de alcance o no se puede resolver. |
build |
Errores en la implementación
Estos errores pueden generarse cuando implementas un proxy que contiene esta política.
| Nombre del error | Causa | Corregir |
|---|---|---|
InvalidEmptyElement |
Ocurre cuando la variable de flujo que contiene el JWT que se decodificará no se especifica en el elemento <Source> de la política.
|
build |
Variables con fallas
Estas variables se configuran cuando se genera un error de entorno de ejecución. Para obtener más información, consulta Qué debes saber sobre los errores de la política.
| Variables | Donde | Ejemplo |
|---|---|---|
fault.name="fault_name" |
fault_name es el nombre de la falla, como se indica en la tabla de Errores del entorno de ejecución anterior. El nombre de la falla es la última parte del código de la falla. | fault.name Matches "InvalidToken" |
JWT.failed |
Todas las políticas de JWT establecen la misma variable en caso de falla. | JWT.failed = true |
Ejemplo de respuesta de error
Para controlar errores, se recomienda capturar la parte errorcode de la respuesta de error. No dependas del texto en la faultstring, ya que podría cambiar.
Ejemplo de regla de falla
<FaultRules>
<FaultRule name="JWT Policy Errors">
<Step>
<Name>JavaScript-1</Name>
<Condition>(fault.name Matches "InvalidToken")</Condition>
</Step>
<Condition>JWT.failed=true</Condition>
</FaultRule>
</FaultRules>