Halaman ini berlaku untuk Apigee dan Apigee hybrid.
Lihat Dokumentasi Apigee Edge.
Apa
Menghasilkan JWS yang ditandatangani, dengan serangkaian klaim yang dapat dikonfigurasi. JWS kemudian dapat dikembalikan ke yang dikirim ke target backend, atau digunakan dengan cara lain. Lihat ringkasan kebijakan JWS dan JWT untuk pengantar mendetail.
Untuk mempelajari tentang bagian-bagian dari JWS dan bagaimana mereka dienkripsi dan ditandatangani, lihat RFC7515.
Kebijakan ini merupakan Kebijakan yang dapat diperluas dan penggunaan kebijakan ini mungkin menimbulkan biaya atau implikasi penggunaan, bergantung pada lisensi Apigee Anda. Untuk mengetahui informasi tentang jenis kebijakan dan implikasi penggunaan, lihat Jenis kebijakan.
Video
Tonton video singkat untuk mempelajari cara menghasilkan JWT yang ditandatangani. Meskipun video ini khusus untuk menghasilkan JWT, banyak konsep yang sama untuk JWS.
Sampel
Membuat JWS yang ditandatangani dengan HS256
Contoh kebijakan ini menghasilkan JWS yang ditandatangani menggunakan algoritma HS256. HS256 bergantung pada rahasia bersama, baik untuk menandatangani dan memverifikasi tanda tangan. JWS ini menggunakan "terlampir" konten, artinya header, payload, dan tanda tangan yang dienkode akan digabungkan dengan titik JWS akhir:
[header].[payload].[signature]
Gunakan elemen <Payload>
untuk menentukan payload JWS mentah yang tidak dienkode.
Dalam contoh ini, variabel berisi payload. Saat tindakan kebijakan ini dipicu,
Apigee mengenkode header dan payload JWS, lalu menambahkan tanda tangan yang dienkode untuk menandatangani JWS secara digital.
Konfigurasi kebijakan di bawah membuat JWS dari payload yang terdapat dalam variabel
my-payload
, dan menyimpan JWS yang dihasilkan dalam variabel
output-variable
.
<GenerateJWS name="JWS-Generate-HS256"> <DisplayName>JWS Generate HS256</DisplayName> <Algorithm>HS256</Algorithm> <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables> <SecretKey> <Value ref="private.secretkey"/> <Id>1918290</Id> </SecretKey> <Payload ref="my-payload"/> <OutputVariable>output-variable</OutputVariable> </GenerateJWS>
Membuat JWT yang ditandatangani HS256
Contoh ini juga menghasilkan JWS dengan konten terlampir yang ditandatangani menggunakan HS256
algoritme. Dalam hal ini, payload adalah JSON. Menetapkan header typ
ke JWT
menghasilkan JWS yang ditandatangani,
yang juga merupakan JWT yang ditandatangani.
(referensi)
Konfigurasi kebijakan di bawah membuat JWS dari payload yang terdapat dalam variabel
json-content
, dan menyimpan JWS yang dihasilkan dalam variabel
output-variable
. Hasilnya akan menjadi JWT yang ditandatangani jika dan hanya jika
Variabel json-content
menyimpan payload JSON, dan properti di dalamnya
bahwa payload JSON valid untuk JWT. Misalnya, properti exp
, jika
harus berupa nilai numerik. Properti aud
, jika ada,
harus berupa string atau array string. Dan seterusnya. Konsultasi
IETF RFC7519 untuk
nilai yang valid untuk klaim JWT.
<GenerateJWS name="JWS-Generate-HS256-JWT"> <Algorithm>HS256</Algorithm> <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables> <SecretKey> <Value ref="private.secretkey"/> </SecretKey> <Payload ref="json-content"/> <AdditionalHeaders> <Claim name="typ">JWT</Claim> </AdditionalHeaders> <OutputVariable>output-variable</OutputVariable> </GenerateJWS>
Membuat JWS yang terpisah
Contoh kebijakan ini menghasilkan JWS dengan konten yang terpisah, yang ditandatangani menggunakan algoritma RS256. Pembuatan tanda tangan RS256 bergantung pada kunci pribadi RSA, yang harus disediakan di Bentuk berenkode PEM.
JWS dengan konten terpisah menghapus payload dari JWS yang dihasilkan:
[header]..[signature]
Gunakan elemen <Payload>
untuk menentukan payload JWS mentah yang tidak dienkode.
Saat kebijakan ini dipicu, Apigee akan mengenkode header dan payload JWS, lalu menggunakannya
untuk menghasilkan tanda tangan yang dienkode. Namun, JWS yang dihasilkan menghilangkan {i>payload<i} yang dienkode dari
JWS yang diserialisasi. Hal ini membantu ketika konten yang ditandatangani berukuran besar, atau biner (seperti
gambar atau PDF), atau keduanya. Untuk mengizinkan validasi, Anda harus meneruskan kedua elemen, JWS dan
payload yang disertakan dalam konten yang ditandatangani, kepada pihak yang melakukan verifikasi. Jika Anda menggunakan
Verifikasi kebijakanJWS untuk memverifikasi JWS, Anda dapat menentukan variabel yang berisi payload
dengan elemen <DetachedContent>
dari kebijakan VerifyJWS.
<GenerateJWS name="JWS-Generate-RS256"> <DisplayName>JWS Generate RS256</DisplayName> <Algorithm>RS256</Algorithm> <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables> <PrivateKey> <Value ref="private.privatekey"/> <Password ref="private.privatekey-password"/> <Id ref="private.privatekey-id"/> </PrivateKey> <Payload ref="my-payload"/> <DetachContent>true</DetachContent> <OutputVariable>output-variable</OutputVariable> </GenerateJWS>
Menetapkan elemen kunci
Elemen yang Anda gunakan untuk menentukan kunci yang digunakan untuk membuat JWS tergantung pada algoritma yang dipilih, seperti yang ditunjukkan dalam tabel berikut:
Algoritme | Elemen utama | |
---|---|---|
HS{256/384/512}* | <SecretKey> <Value ref="private.secretkey"/> <Id>1918290</Id> </SecretKey> |
|
RS/PS/ES{256/384/512}* | <PrivateKey> <Value ref="private.privatekey"/> <Password ref="private.privatekey-password"/> <Id ref="private.privatekey-id"/> </PrivateKey> Elemen |
|
*Untuk informasi selengkapnya tentang persyaratan utama, lihat Tentang algoritma enkripsi tanda tangan. |
Referensi elemen untuk Membuat JWS
Referensi kebijakan menjelaskan elemen dan atribut kebijakan Buat JWS.
Catatan: Konfigurasi akan sedikit berbeda tergantung enkripsi algoritma yang digunakan. Lihat Contoh untuk mengetahui contoh yang menunjukkan khusus untuk kasus penggunaan tertentu.
Atribut yang diterapkan pada elemen tingkat atas
<GenerateJWS name="JWS" continueOnError="false" enabled="true" async="false">
Atribut berikut umum untuk semua elemen induk kebijakan.
Atribut | Deskripsi | Default | Kehadiran |
---|---|---|---|
nama |
Nama internal kebijakan. Karakter yang dapat Anda gunakan dalam nama dibatasi untuk:
A-Z0-9._\-$ % . Namun, UI Apigee memberlakukan
tertentu, seperti menghapus karakter yang bukan alfanumerik secara otomatis.
Secara opsional, gunakan elemen |
T/A | Wajib |
continueOnError |
Tetapkan ke false untuk menampilkan error saat kebijakan gagal. Diharapkan
untuk sebagian besar kebijakan.
Setel ke |
salah | Opsional |
diaktifkan |
Setel ke true untuk menerapkan kebijakan.
Setel ke |
benar | Opsional |
asinkron | Atribut ini tidak digunakan lagi. | salah | Tidak digunakan lagi |
<DisplayName>
<DisplayName>Policy Display Name</DisplayName>
Gunakan selain atribut nama untuk memberi label kebijakan di editor proxy UI Apigee dengan nama natural language yang berbeda.
Default | Jika Anda menghapus elemen ini, nilai atribut nama kebijakan akan digunakan. |
Kehadiran | Opsional |
Jenis | String |
<Algorithm>
<Algorithm>algorithm-here</Algorithm>
Menentukan algoritma enkripsi untuk menandatangani token.
Default | T/A |
Kehadiran | Wajib |
Jenis | String |
Nilai yang valid | HS256, HS384, HS512, RS256, RS384, RS512, ES256, ES384, ES512, PS256, PS384, PS512 |
<AdditionalHeaders/Claim>
<AdditionalHeaders> <Claim name='claim1'>explicit-value-of-claim-here</Claim> <Claim name='claim2' ref='variable-name-here'/> <Claim name='claim3' ref='variable-name-here' type='boolean'/> <Claim name='claim4' ref='variable-name' type='string' array='true'/> </AdditionalHeaders>
Menempatkan pasangan nama/nilai klaim tambahan di header untuk JWS.
Default | T/A |
Kehadiran | Opsional |
Nilai yang valid | Nilai apa pun yang ingin Anda gunakan untuk klaim tambahan. Anda dapat menentukan klaim secara eksplisit sebagai string, angka, boolean, peta, atau array. |
Elemen <Claim>
menggunakan atribut berikut:
- name - (Wajib) Nama klaim, yang juga dikenal sebagai parameter.
- ref - (Opsional) Nama variabel flow. Jika ada, kebijakan akan menggunakan nilai variabel sebagai klaim. Jika atribut ref dan nilai klaim eksplisit ditentukan, elemen nilai eksplisit adalah default, dan digunakan jika variabel alur yang direferensikan tidak terselesaikan.
- type - (Opsional) Salah satu dari: string (default), angka, boolean, atau peta
- array - (Opsional) Tetapkan ke true untuk menunjukkan apakah nilai merupakan array jenis. Default: {i>false<i}.
<CriticalHeaders>
<CriticalHeaders>a,b,c</CriticalHeaders> or: <CriticalHeaders ref="variable_containing_headers"/>
Menambahkan header penting, crit, ke JWS. Header crit adalah array nama {i>header<i} yang harus diketahui dan dikenali oleh penerima JWS. Misalnya, Anda dapat menggunakan elemen konfigurasi ini untuk menghasilkan {i>header<i} JWS yang saat didekode, akan terlihat seperti ini:
{ "typ": "...", "alg" : "...", "hyb" : "some-value-here", "crit" : [ "hyb" ], }
Header JWS ini menegaskan bahwa parameter header hyb sangat penting kepentingannya, dan setiap penerima JWS harus memahami makna dan nilainya .
Sesuai dengan IETF RFC 7515, penerima JWS harus menolak JWS karena
tidak valid jika penerima tidak memahami satu atau lebih parameter yang dirujuk dalam
crit. Di Apigee, kebijakan VerifikasiJWS sesuai dengan perilaku ini.
Untuk setiap parameter yang tercantum dalam parameter crit, fungsi ini memeriksa apakah
Elemen <KnownHeaders>
dari kebijakan VerifyJWS juga mencantumkan parameter tersebut.
Header apa pun yang ditemukan oleh kebijakan VerifyJWS di crit yang juga tidak tercantum
di <KnownHeaders>
menyebabkan kebijakan VerifyJWS menolak JWS.
Default | T/A |
Kehadiran | Opsional |
Jenis | Array yang dipisahkan koma yang berisi satu atau beberapa string |
Nilai yang valid | Baik array maupun referensi ke variabel yang berisi array. |
<DetachContent>
<DetachContent>true|false</DetachContent>
Menentukan apakah akan membuat JWS dengan payload terpisah, <DetachContent>true</DetachContent>
,
atau tidak, <DetachContent>false</DetachContent>
.
Jika Anda menentukan false, defaultnya, JWS yang dihasilkan akan dalam bentuk:
[header].[payload].[signature]
Jika Anda menetapkan true untuk membuat JWS dengan payload terpisah, JWS yang dihasilkan akan menghilangkan payload dan dalam bentuk:
[header]..[signature]
Dengan JWS yang menggunakan {i>payload<i} terlepas, Anda dapat meneruskan payload asli yang tidak dikodekan ke pihak yang memverifikasi, bersama dengan JWS berseri.
Default | salah |
Kehadiran | Opsional |
Jenis | Boolean |
Nilai yang valid | benar atau salah |
<IgnoreUnresolvedVariables>
<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>
Tetapkan ke false jika Anda ingin kebijakan menampilkan error saat variabel yang direferensikan ditentukan dalam kebijakan itu tidak dapat diselesaikan. Tetapkan ke true untuk memperlakukan variabel yang tidak dapat diselesaikan sebagai string kosong (null).
Default | salah |
Kehadiran | Opsional |
Jenis | Boolean |
Nilai yang valid | benar atau salah |
<OutputVariable>
<OutputVariable>output-variable</OutputVariable>
Menentukan nama variabel konteks yang akan ditetapkan oleh kebijakan dengan JWS yang dihasilkan.
Secara default, kebijakan akan menempatkan JWS ke dalam variabel konteks bernama
jws.POLICYNAME.generated_jws
.
Default | jws.POLICYNAME.generated_jws |
Kehadiran | Opsional |
Jenis | String (nama variabel flow) |
<Payload>
<Payload ref="flow-variable-name-here" /> or <Payload>payload-value</Payload>
Menentukan payload JWS mentah yang tidak dienkode. Tentukan variabel yang berisi payload, atau string.
Default | T/A |
Kehadiran | Wajib |
Jenis | String, array byte, streaming, atau representasi lain dari payload JWS yang tidak dienkode. |
Nilai yang valid | Template pesan, atau referensi ke variabel yang berisi payload. |
<PrivateKey> elemen
Ini bersifat opsional, hanya untuk digunakan jika <Algorithm>
adalah salah satu dari RS*, PS*,
atau ES*. Ini menentukan kunci pribadi yang akan digunakan untuk penandatanganan, serta informasi lainnya
yang terkait dengan kunci pribadi. Ini digunakan ketika algoritma adalah algoritma asimetris.
<PrivateKey> <Value ref="private.privatekey"</Value> </PrivateKey>
Default: | T/A |
Kehadiran: | Opsional. Namun, Anda harus menyertakan dengan tepat salah satu dari
Elemen <PrivateKey> atau <SecretKey> .
Gunakan elemen <PrivateKey> jika algoritmanya adalah RS*, PS*, atau ES*,
dan menggunakan elemen <SecretKey> jika algoritmanya adalah HS*.
|
Jenis: | T/A |
<PrivateKey/Id>
<PrivateKey> <Id ref="flow-variable-name-here"/> </PrivateKey> or <PrivateKey> <Id>your-id-value-here</Id> </PrivateKey>
Menentukan ID kunci (anak) yang akan disertakan dalam header JWS.
Default | T/A |
Kehadiran | Opsional |
Jenis | String |
Nilai yang valid | Variabel aliran atau {i>string<i} |
<PrivateKey/Password>
<PrivateKey> <Password ref="private.privatekey-password"/> </PrivateKey>
Tentukan sandi yang harus digunakan kebijakan untuk mendekripsi kunci pribadi, jika perlu. Gunakan ref untuk meneruskan kunci dalam variabel alur.
Default | T/A |
Kehadiran | Opsional |
Jenis | String |
Nilai yang valid |
Referensi variabel flow. Catatan: Anda harus menentukan variabel alur
dengan atribut ref. Apigee akan menolak karena kebijakan tidak valid
di mana {i>password<i}
ditentukan dalam teks polos. Variabel flow
harus memiliki awalan "private". Misalnya, |
<PrivateKey/Value>
<PrivateKey> <Value ref="private.variable-name-here"/> </PrivateKey>
Menentukan kunci pribadi berenkode PEM yang digunakan untuk menandatangani JWS. Gunakan atribut ref untuk meneruskan di variabel flow.
Default | T/A |
Kehadiran | Wajib saat menggunakan kebijakan untuk membuat JWS menggunakan salah satu RS*, PS*, atau Algoritma ES*. |
Jenis | String |
Nilai yang valid |
Variabel flow yang berisi string yang mewakili nilai kunci pribadi berenkode PEM.
Catatan: Variabel flow harus memiliki awalan "private". Misalnya,
|
<SecretKey>
<SecretKey encoding="base16|hex|base64|base64url" > <Id ref="variable-containing-key-id-here">secret-key-id</Id> <Value ref="private.variable-here"/> </SecretKey>
Menentukan kunci rahasia yang akan digunakan saat menghasilkan JWS yang menggunakan algoritma simetris (HS*), salah satu dari HS256, HS384, atau HS512.
Elemen ini bersifat opsional. Namun, Anda harus menyertakan dengan tepat salah satu dari
Elemen <PrivateKey>
atau <SecretKey>
.
Gunakan elemen <PrivateKey>
saat membuat JWS yang ditandatangani dengan
algoritma asimetris (salah satu dari RS*, PS*, atau ES*),
dan gunakan elemen <SecretKey>
saat membuat JWS yang ditandatangani dengan
algoritma simetris (algoritma seperti HS*).
Anak-anak dari <SecretKey>
Tabel berikut memberikan deskripsi tentang elemen dan atribut turunan dari
<SecretKey>
:
Anak | Kehadiran | Deskripsi |
---|---|---|
encoding (atribut) | Opsional | Menentukan cara kunci dienkode dalam variabel yang direferensikan. Secara {i>default<i}, bila tidak
Terdapat atribut <SecretKey encoding="hex" > <Id ref="variable-containing-key-id-here">secret-key-id</Id> <Value ref="private.secretkey"/> </SecretKey> Pada contoh di atas, karena encoding adalah |
ID (elemen) | Opsional | ID kunci. Nilainya bisa berupa string apa pun. Anda dapat menentukan nilai sebagai
nilai teks literal, atau secara tidak langsung, melalui referensi variabel, dengan <SecretKey> <Id ref="flow-variable-name-here"/> <Value ref="private.variable-here"/> </SecretKey> or <SecretKey> <Id>your-id-value-here</Id> <Value ref="private.variable-here"/> </SecretKey> Kebijakan ini akan menyertakan ID kunci ini sebagai klaim |
Nilai (elemen) | Wajib | Kunci rahasia yang dienkode. Menentukan kunci rahasia yang digunakan untuk menandatangani payload.
Gunakan atribut <SecretKey> <Id ref="flow-variable-name-here"/> <Value ref="private.my-secret-variable"/> </SecretKey> Apigee menerapkan kekuatan kunci minimum untuk algoritma HS256/HS384/HS512. Panjang kunci minimum untuk HS256 adalah 32 byte, untuk HS384 adalah 48 byte, dan untuk HS512 adalah 64 byte. Menggunakan kunci dengan kekuatan yang lebih rendah akan menyebabkan error runtime. |
<Type>
<Type>type-string-here</Type>
Elemen opsional yang satu-satunya nilai yang diizinkan adalah Signed
, yang menetapkan bahwa kebijakan
menghasilkan JWS yang ditandatangani. <Type>
diberikan
hanya agar cocok dengan elemen yang sesuai untuk kebijakan GenerateJWT dan VerifyJWT (di mana
proses ini dapat menggunakan salah satu nilai Signed
atau Encrypted
).
Default | T/A |
Kehadiran | Opsional |
Jenis | String |
Nilai yang valid | Signed |
Variabel flow
Kebijakan Buat JWS tidak menetapkan variabel alur.
Referensi error
Bagian ini menjelaskan kode error dan pesan error yang ditampilkan serta variabel error yang ditetapkan oleh Apigee saat kebijakan ini memicu error. Informasi ini penting untuk diketahui jika Anda mengembangkan aturan error untuk menangani error. Untuk mempelajari lebih lanjut, lihat Yang perlu Anda ketahui tentang error kebijakan dan Menangani error.
Error runtime
Error ini dapat terjadi saat kebijakan dijalankan.
Kode kerusakan | Status HTTP | Terjadi saat |
---|---|---|
steps.jws.GenerationFailed |
401 |
Kebijakan tidak dapat membuat JWS. |
steps.jws.InsufficientKeyLength |
401 |
Untuk kunci kurang dari 32 byte untuk algoritma HS256 |
steps.jws.InvalidClaim |
401 |
Untuk klaim yang tidak ada atau ketidakcocokan klaim, atau header yang tidak ada atau ketidakcocokan header. |
steps.jws.InvalidCurve |
401 |
Kurva yang ditentukan oleh kunci tidak valid untuk algoritma Elliptic Curve. |
steps.jws.InvalidJsonFormat |
401 |
JSON tidak valid ditemukan di header JWS. |
steps.jws.InvalidPayload |
401 |
Payload JWS tidak valid. |
steps.jws.InvalidSignature |
401 |
<DetachedContent> dihilangkan dan JWS memiliki payload konten yang terpisah. |
steps.jws.KeyIdMissing |
401 |
Kebijakan Verifikasi menggunakan JWKS sebagai sumber kunci publik, tetapi JWS yang ditandatangani tidak
menyertakan properti kid di header. |
steps.jws.KeyParsingFailed |
401 |
Kunci publik tidak dapat diuraikan dari informasi kunci yang diberikan. |
steps.jws.MissingPayload |
401 |
Payload JWS tidak ada. |
steps.jws.NoAlgorithmFoundInHeader |
401 |
Terjadi saat JWS menghilangkan header algoritma. |
steps.jws.SigningFailed |
401 |
Di GenerateJWS, untuk kunci yang kurang dari ukuran minimum untuk algoritma HS384 atau HS512 |
steps.jws.UnknownException |
401 |
Terjadi pengecualian yang tidak diketahui. |
steps.jws.WrongKeyType |
401 |
Jenis kunci yang ditentukan salah. Misalnya, jika Anda menentukan kunci RSA untuk algoritma Elliptic Curve, atau kunci kurva untuk algoritma RSA. |
Error saat deployment
Error ini dapat terjadi saat Anda men-deploy proxy yang berisi kebijakan ini.
Nama error | Terjadi saat |
---|---|
InvalidAlgorithm |
Satu-satunya nilai yang valid adalah: RS256, RS384, RS512, PS256, PS384, PS512, ES256, ES384, ES512,
HS256, HS384, HS512 . |
|
Kemungkinan error deployment lainnya. |
Variabel kesalahan
Variabel ini ditetapkan saat terjadi error runtime. Untuk informasi selengkapnya, lihat Yang perlu Anda ketahui tentang error kebijakan.
Variabel | Dari mana | Contoh |
---|---|---|
fault.name="fault_name" |
fault_name adalah nama kesalahan, seperti yang tercantum dalam tabel Error runtime di atas. Nama kesalahan adalah bagian terakhir dari kode kesalahan. | fault.name Matches "TokenExpired" |
JWS.failed |
Semua kebijakan JWS menetapkan variabel yang sama jika terjadi kegagalan. | jws.JWS-Policy.failed = true |
Contoh respons error
Untuk penanganan error, praktik terbaiknya adalah menjebak bagian errorcode
dari respons
error. Jangan mengandalkan teks di faultstring
, karena dapat berubah.
Contoh aturan kesalahan
<FaultRules> <FaultRule name="JWS Policy Errors"> <Step> <Name>JavaScript-1</Name> <Condition>(fault.name Matches "TokenExpired")</Condition> </Step> <Condition>JWS.failed=true</Condition> </FaultRule> </FaultRules>