GenerateJWT 정책

이 페이지는 ApigeeApigee Hybrid에 적용됩니다.

Apigee Edge 문서 보기

정책 아이콘

대상

구성 가능한 클레임 세트를 포함하는 서명된 JWT 또는 암호화된 JWT를 생성합니다. JWT는 클라이언트에 반환되거나, 백엔드 대상으로 전송되거나, 다른 방식으로 사용될 수 있습니다. 자세한 소개는 JWS 및 JWT 정책 개요를 참조하세요.

이 정책은 확장 가능한 정책이며, 이 정책을 사용하면 Apigee 라이선스에 따라 비용 또는 사용률이 영향을 받을 수 있습니다. 정책 유형 및 사용 영향에 대한 자세한 내용은 정책 유형을 참조하세요.

방법

정책이 서명된 JWT 또는 암호화된 JWT를 생성하는지 여부는 JWT를 생성하는 알고리즘을 지정하는 데 사용하는 요소에 따라 다릅니다.

동영상

짧은 동영상을 시청하여 서명된 JWT를 생성하는 방법을 알아보세요.

서명된 JWT 생성

이 섹션에서는 서명된 JWT를 생성하는 방법을 설명합니다. 서명된 JWT의 경우 <Algorithm> 요소를 사용하여 키 서명 알고리즘을 지정합니다.

서명된 JWT 샘플

다음 샘플은 서명된 JWT를 생성하는 방법을 보여줍니다.

HS256 알고리즘

이 정책 예시에서는 새 JWT를 생성하고 HS256 알고리즘을 사용하여 서명합니다. HS256은 서명 및 서명 확인 모두에서 공유 보안 비밀에 의존합니다.

이 정책 작업이 트리거되면 Apigee는 JWT 헤더와 페이로드를 인코딩한 다음 JWT에 디지털 방식으로 서명합니다. 위의 동영상을 통해 정책에 대해 요청을 수행하는 방법을 포함한 전체 예시를 확인하세요.

여기에서 정책 구성은 JWT 사양에 정의된 대로 1시간의 만료 시간을 포함하는 표준 클레임과 추가 클레임을 생성합니다. 추가 클레임은 원하는 만큼 포함할 수 있습니다. 이 샘플 정책의 각 요소에 대한 요구사항 및 옵션에 대한 자세한 내용은 요소 참조를 확인하세요.

<GenerateJWT name="JWT-Generate-HS256">
    <DisplayName>JWT Generate HS256</DisplayName>
    <Type>Signed</Type>
    <Algorithm>HS256</Algorithm>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <SecretKey>
        <Value ref="private.secretkey"/>
        <Id>1918290</Id>
    </SecretKey>
    <ExpiresIn>1h</ExpiresIn>
    <Subject>monty-pythons-flying-circus</Subject>
    <Issuer>urn://apigee-JWT-policy-test</Issuer>
    <Audience>fans</Audience>
    <Id/>
    <AdditionalClaims>
        <Claim name="show">And now for something completely different.</Claim>
    </AdditionalClaims>
    <OutputVariable>jwt-variable</OutputVariable>
</GenerateJWT>

결과 JWT에는 다음 헤더가 포함됩니다.

{
  "typ" : "JWT",
  "alg" : "HS256",
  "kid" : "1918290"
}

그리고 다음과 같은 콘텐츠가 포함된 페이로드를 가집니다.

{
  "sub" : "monty-pythons-flying-circus",
  "iss" : "urn://apigee-JWT-policy-test",
  "aud" : "fans",
  "iat" : 1506553019,
  "exp" : 1506556619,
  "jti" : "BD1FF263-3D25-4593-A685-5EC1326E1F37",
  "show": "And now for something completely different."
}

iat, exp, jti 클레임의 값은 달라집니다.

RS256 알고리즘

이 정책 예시에서는 새 JWT를 생성하고 RS256 알고리즘을 사용하여 서명합니다. RS256 서명 생성에는 RSA 비공개 키가 사용되며, 이는 PEM 인코딩 형식으로 제공되어야 하고 비밀번호로 암호화될 수 있습니다. 위의 동영상을 통해 정책에 대해 요청을 수행하는 방법을 포함한 전체 예시를 확인하세요.

이 정책 작업이 트리거되면 Apigee가 클레임을 포함하여 JWT를 인코딩하고 디지털 방식으로 서명합니다. JWT의 부분과 암호화 및 서명 방법을 알아보려면 RFC7519를 참조하세요.

<GenerateJWT name="JWT-Generate-RS256">
    <Type>Signed</Type>
    <Algorithm>RS256</Algorithm>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <PrivateKey>
        <Value ref="private.privatekey"/>
        <Password ref="private.privatekey-password"/>
        <Id ref="private.privatekey-id"/>
    </PrivateKey>
    <Subject>apigee-seattle-hatrack-montage</Subject>
    <Issuer>urn://apigee-JWT-policy-test</Issuer>
    <Audience>urn://c60511c0-12a2-473c-80fd-42528eb65a6a</Audience>
    <ExpiresIn>60m</ExpiresIn>
    <Id/>
    <AdditionalClaims>
        <Claim name="show">And now for something completely different.</Claim>
    </AdditionalClaims>
    <OutputVariable>jwt-variable</OutputVariable>
</GenerateJWT>

위 샘플에서는 <Algorithm> 요소를 사용하므로 서명된 JWT가 생성됩니다. <PrivateKey> 요소는 JWT를 서명하는 데 사용되는 암호화 키를 지정합니다. 다른 주요 요소도 있습니다. 사용하는 요소는 다음 섹션에서 설명된 대로 <Algorithm> 값에 지정된 알고리즘에 따라 달라집니다.

서명된 JWT의 키 요소 설정

다음 요소 중 하나만 사용하여 서명된 JWT를 생성하는 데 사용되는 키를 지정합니다.

사용하는 요소는 다음 표와 같이 선택한 알고리즘에 따라 다릅니다.

알고리즘 주요 요소
HS{256/384/512}*
<SecretKey>
  <Value ref="private.secretkey"/>
  <Id ref="secretkey-id">key-1918290</Id>
</SecretKey>
RS/PS/ES{256/384/512}*
<PrivateKey>
  <Value ref="private.privatekey"/>
  <Password ref="private.privatekey-password"/>
  <Id ref="privatekey-id">key-1918290</Id>
</PrivateKey>

위의 예시에서 <Password><Id> 요소는 선택사항입니다.

키 요구사항에 대한 자세한 내용은 서명 암호화 알고리즘 정보를 참조하세요.

암호화된 JWT 생성

이 섹션에서는 암호화된 JWT를 생성하는 방법을 설명합니다. 암호화된 JWT의 경우 <Algorithms> 요소를 사용하여 키 및 콘텐츠 서명 알고리즘을 지정합니다.

암호화된 JWT 샘플

다음 샘플은 암호화된 JWT를 생성하는 방법을 보여줍니다. 이 샘플은 <Algorithms> 요소를 사용하므로 암호화된 JWT를 생성합니다.

RSA-OAEP-256

아래 예에서:

  • 키는 RSA-OAEP-256 알고리즘으로 암호화됩니다.
  • 콘텐츠는 A128GCM 알고리즘으로 암호화됩니다.

<PublicKey> 요소는 키 암호화에 사용되는 키를 지정합니다.

<GenerateJWT name="gjwt-1">
  <Type>Encrypted</Type>
  <Algorithms>
    <Key>RSA-OAEP-256</Key>
    <Content>A128GCM</Content>
  </Algorithms>
  <PublicKey>
    <Value ref="rsa_publickey"/>
  </PublicKey>
  <Subject>subject@example.com</Subject>
  <Issuer>urn://apigee</Issuer>
  <ExpiresIn>1h</ExpiresIn>
  <AdditionalHeaders>
    <Claim name="moniker">Harvey</Claim>
  </AdditionalHeaders>
  <OutputVariable>output_var</OutputVariable>
</GenerateJWT>

A128KW

아래 예에서:

  • 키는 A128KW 알고리즘으로 암호화됩니다.
  • 콘텐츠는 A128GCM 알고리즘으로 암호화됩니다.

<SecretKey> 요소는 키 암호화에 사용되는 키를 지정합니다.

<GenerateJWT name='gjwt-2'>
  <Algorithms>
    <Key>A128KW</Key>
    <Content>A128GCM</Content>
  </Algorithms>
  <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
  <SecretKey>
    <Value ref='private.secretkey'/>
  </SecretKey>
  <Subject>subject@example.com</Subject>
  <Issuer>urn://apigee</Issuer>
  <ExpiresIn>1h</ExpiresIn>
  <OutputVariable>output_var</OutputVariable>
</GenerateJWT>

암호화된 JWT의 키 요소 설정

암호화된 JWT를 생성하려는 경우 다음 요소 중 하나를 사용하여 GenerateJWT의 암호화 키를 지정합니다.

사용하는 요소는 다음 표와 같이 선택한 키 암호화 알고리즘에 따라 다릅니다.

키 암호화 알고리즘 주요 요소
RSA-OAEP-256
<PublicKey>
  <Value ref="rsa_publickey"/>
</PublicKey>

참고: 키는 RSA 공개 키로 확인되어야 합니다.

  • ECDH-ES
  • ECDH-ES+A128KW
  • ECDH-ES+A192KW
  • ECDH-ES+A256KW
<PublicKey>
  <Value ref="ec_publickey"/>
</PublicKey>

참고: 키는 타원 곡선 공개 키로 확인되어야 합니다.

  • A128KW
  • A192KW
  • A256KW
  • A128GCMKW
  • A192GCMKW
  • A256GCMKW
<SecretKey>
  <Id>optional key identifier here</Id>
  <Value ref="private.secretkey"/>
</SecretKey>
  • PBES2-HS256+A128KW
  • PBES2-HS384+A192KW
  • PBES2-HS512+A256KW
<PasswordKey>
  <Id>optional key identifier here</Id>
  <Value ref="private.passwordkey"/>
  <SaltLength>
  <PBKDF2Iterations>
</PasswordKey>
dir
<DirectKey>
  <Id>optional key identifier here</Id>
  <Value encoding="base16|hex|base64|base64url" ref="private.directkey"/>
</DirectKey>

키 요구사항에 대한 자세한 내용은 서명 암호화 알고리즘 정보를 참조하세요.

Generate JWT의 요소 참조

정책 참조는 Generate JWT 정책의 요소 및 속성을 설명합니다.

참고: 구성은 사용하는 암호화 알고리즘에 따라 다소 달라질 수 있습니다. 특정 사용 사례의 구성을 보여주는 예시는 서명된 JWT 샘플 또는 암호화된 JWT 샘플을 참조하세요.

최상위 요소에 적용되는 속성

<GenerateJWT name="JWT" continueOnError="false" enabled="true" async="false">

다음 속성은 모든 정책 상위 요소에 공통적으로 적용됩니다.

속성 설명 기본값 Presence
이름 정책의 내부 이름입니다. 이름에 사용할 수 있는 문자는 A-Z0-9._\-$ %로 제한됩니다. 그러나 Apigee UI는 영숫자가 아닌 문자를 자동으로 삭제하는 등 추가 제한사항을 적용합니다.

선택적으로 <displayname></displayname> 요소를 사용하여 Apigee UI 프록시 편집기의 정책에 다른 자연어 이름으로 라벨을 지정합니다.

해당 사항 없음 필수
continueOnError 정책이 실패할 경우 오류가 반환되도록 하려면 false로 설정합니다. 이는 대부분의 정책에서 예상되는 동작입니다.

정책이 실패해도 흐름 실행이 계속되도록 하려면 true로 설정합니다.

false 선택사항
사용 설정됨 정책을 시행하려면 true로 설정합니다.

false로 설정하여 정책을 '사용 중지'합니다. 정책이 흐름에 연결되어 있어도 정책이 시행되지 않습니다.

true 선택사항
async 이 속성은 지원이 중단되었습니다. false 지원 중단됨

<DisplayName>

<DisplayName>Policy Display Name</DisplayName>

이름 속성 외에도 이 요소를 사용하여 Apigee UI 프록시 편집기의 정책에 다른 자연어 이름으로 라벨을 지정합니다.

기본값 이 요소를 생략하면 정책 이름 속성 값이 사용됩니다.
Presence 선택사항
유형 문자열

<Algorithm>

<Algorithm>algorithm-here</Algorithm>

토큰에 서명하는 데 사용되는 암호화 알고리즘을 지정합니다. <Algorithm> 요소를 사용하여 서명된 JWT를 생성합니다.

기본값 해당 사항 없음
Presence 선택사항. <Algorithm> 또는 <Algorithms> 중 하나가 필요합니다.
유형 문자열
유효한 값 HS256, HS384, HS512, RS256, RS384, RS512, ES256, ES384, ES512, PS256, PS384, PS512

<Algorithms>

<Algorithms>
    <Key>key-algorithm</Key>
    <Content>content-algorithm</Content>
</Algorithm>

키 및 콘텐츠 암호화를 위한 암호화 알고리즘을 지정합니다. <Algorithms> 요소를 사용하여 암호화된 JWT를 생성합니다.

기본값 해당 사항 없음
선택사항. <Algorithm> 또는 <Algorithms> 중 하나가 필요합니다. 필수
유형 문자열

<Algorithms> 하위 요소

다음 표에서는 <Algorithms> 하위 요소를 간략하게 설명합니다.

하위 요소 필수 여부 설명
<Key> 필수 키의 암호화 알고리즘을 지정합니다.
<Content> 필수 콘텐츠의 암호화 알고리즘을 지정합니다.

키 암호화 알고리즘

다음 표에는 키 암호화에 사용할 수 있는 알고리즘이 나와 있습니다.

<Key>의 값(키 암호화 알고리즘) 키 요소는 필수 항목
dir <DirectKey>
RSA-OAEP-256 <PublicKey> (RSA 공개 키로 확인되어야 함)
  • A128KW
  • A192KW
  • A256KW
  • A128GCMKW
  • A192GCMKW
  • A256GCMKW
<SecretKey>
  • PBES2-HS256+A128KW
  • PBES2-HS384+A192KW
  • PBES2-HS512+A256KW
<PasswordKey>
  • ECDH-ES
  • ECDH-ES+A128KW
  • ECDH-ES+A192KW
  • ECDH-ES+A256KW
<PublicKey> (타원 곡선 공개 키로 확인되어야 함)

키 암호화 알고리즘이 RSA-OAEP-256인 예시는 암호화된 JWT 생성을 참조하세요. 따라서 RSA 공개 키로 확인되는 값과 함께 <PublicKey> 요소를 사용합니다.

콘텐츠 암호화 알고리즘

콘텐츠 암호화에 사용할 수 있는 알고리즘(대칭, AES 기반)은 다음과 같습니다.

  • A128CBC-HS256
  • A192CBC-HS384
  • A256CBC-HS512
  • A128GCM
  • A192GCM
  • A256GCM

이러한 알고리즘에 대한 자세한 내용은 RFC7518을 참조하세요.

<Audience>

<Audience>audience-here</Audience>

or:

<Audience ref='variable_containing_audience'/>

정책은 지정된 값으로 설정된 aud 클레임을 포함하는 JWT를 생성합니다. 이 클레임은 JWT가 대상인 수신자를 식별하며, RFC7519에 언급된 등록된 클레임 중 하나입니다.

기본값 해당 사항 없음
Presence 선택사항
유형 배열(쉼표로 구분 된 값 목록)
유효한 값 잠재고객을 식별하는 모든 항목

<AdditionalClaims/Claim>

<AdditionalClaims>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
</AdditionalClaims>

or:

<AdditionalClaims ref='claim_payload'/>

JWT의 페이로드에 추가 클레임 이름/값 쌍을 지정할 수 있습니다. 클레임을 문자열, 숫자, 부울, 맵 또는 배열로 명시적으로 지정할 수 있습니다. 맵은 단순히 이름/값 쌍의 집합입니다.

기본값 해당 사항 없음
Presence 선택사항
유효한 값 추가 클레임에 사용할 값입니다. 클레임을 문자열, 숫자, 부울, 맵 또는 배열로 명시적으로 지정할 수 있습니다.

<Claim> 요소는 다음 속성을 사용합니다.

  • name - (필수) 클레임의 이름입니다.
  • ref - (선택사항) 흐름 변수의 이름입니다. 이 이름이 있으면 정책에서는 이 변수의 값을 클레임으로 사용합니다. ref 속성 및 명시적 클레임 값이 모두 지정되면 명시적 값이 기본값이 되고 참조된 흐름 변수가 해결되지 않은 경우에 사용됩니다.
  • type - (선택사항) 문자열(기본값), 숫자, 부울, 맵 중 하나입니다.
  • array - (선택사항) 값이 유형의 배열인지 나타내려면 true로 설정합니다. 기본값은 false입니다.

<Claim> 요소를 포함하면 정책을 구성할 때 클레임 이름이 정적으로 설정됩니다. 또는 JSON 객체를 전달하여 클레임 이름을 지정할 수 있습니다. JSON 객체는 변수로 전달되므로 생성된 JWT의 클레임 이름은 런타임에 결정됩니다.

예를 들면 다음과 같습니다.

<AdditionalClaims ref='json_claims'/>

여기서 변수 json_claims에는 JSON 객체가 다음 형식으로 포함됩니다.

{
  "sub" : "person@example.com",
  "iss" : "urn://secure-issuer@example.com",
  "non-registered-claim" : {
    "This-is-a-thing" : 817,
    "https://example.com/foobar" : { "p": 42, "q": false }
  }
}

생성된 JWT에는 JSON 객체의 모든 클레임이 포함됩니다.

<AdditionalHeaders/Claim>

<AdditionalHeaders>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
    <Claim name='claim4' ref='variable-name' type='string' array='true'/>
 </AdditionalHeaders>

JWT의 헤더에 추가 클레임 이름/값 쌍을 넣습니다.

기본값 해당 사항 없음
Presence 선택사항
유효한 값 추가 클레임에 사용할 값입니다. 클레임을 문자열, 숫자, 부울, 맵 또는 배열로 명시적으로 지정할 수 있습니다.

<Claim> 요소는 다음 속성을 사용합니다.

  • name - (필수) 클레임의 이름입니다.
  • ref - (선택사항) 흐름 변수의 이름입니다. 이 이름이 있으면 정책에서는 이 변수의 값을 클레임으로 사용합니다. ref 속성 및 명시적 클레임 값이 모두 지정되면 명시적 값이 기본값이 되고 참조된 흐름 변수가 해결되지 않은 경우에 사용됩니다.
  • type - (선택사항) 문자열(기본값), 숫자, 부울, 맵 중 하나입니다.
  • array - (선택사항) 값이 유형의 배열인지 나타내려면 true로 설정합니다. 기본값은 false입니다.

<Compress>

<Compress>true</Compress>

암호화하기 전에 텍스트를 압축할지 여부를 지정합니다. 이 요소는 암호화된 JWT를 생성할 때만 유효합니다.

<CriticalHeaders>

<CriticalHeaders>a,b,c</CriticalHeaders>

or:

<CriticalHeaders ref=variable_containing_headers/>

JWT 헤더에 critical header(crit)를 추가합니다. crit 헤더는 JWT 수신자가 알고 인식할 수 있어야 하는 헤더 이름의 배열입니다. 예를 들면 다음과 같습니다.

{
  "typ": "...",
  "alg" : "...",
  "crit" : [ "a", "b", "c" ],
}

사양에 따라 확인 당사자는 crit 헤더를 검사하고 각 헤더가 이해되었는지 확인해야 합니다. 예를 들어 VerifyJWT 정책crit 헤더를 검사합니다. crit 헤더에 나열된 각 항목에 대해, VerifyJWT 정책의 <KnownHeaders> 요소에도 해당 헤더가 나열되는지 확인합니다. VerifyJWT 정책이 <KnownHeaders>에 나열되지 않은 crit에서 찾은 모든 헤더로 인해 VerifyJWT 정책이 실패합니다.

기본값 해당 사항 없음
Presence 선택사항
유형 쉼표로 구분된 문자열 배열
유효한 값 배열 또는 배열이 포함된 변수의 이름

<CustomClaims>

참고: 현재 UI를 통해 새 GenerateJWT 정책을 추가하면 CustomClaims 요소가 삽입됩니다. 이 요소는 작동하지 않으며 무시됩니다. 대신 사용할 수 있는 올바른 요소는 <AdditionalClaims>입니다. 이 UI는 나중에 올바른 요소를 삽입하도록 업데이트됩니다.

<DirectKey>

<DirectKey>
  <Id>A12345</Id>
  <Value encoding="base16|hex|base64|base64url" ref="private.directkey"/>
</DirectKey>

암호화 알고리즘이 dir('직접 암호화')인 경우 JWT를 암호화하는 직접 키를 지정합니다.

<DirectKey> 하위 요소

다음 표에서는 <DirectKey> 하위 요소를 간략하게 설명합니다.

하위 요소 필수 여부 설명
ID 선택사항 키 식별자
필수 ref 속성으로 변수에 대한 참조를 지정합니다. 참조된 변수의 콘텐츠는 16진수(base16), base64 또는 base64url 중 하나를 통해 인코딩된 바이트 배열의 문자열 인코딩이어야 합니다.

직접 키 암호화를 사용하면 콘텐츠 암호화 키(CEK) 역할을 할 바이트를 직접 제공할 수 있습니다. 바이트 배열을 인코딩된 문자열로 지정해야 합니다. 바이트 배열의 필수 길이는 선택된 콘텐츠 암호화 알고리즘의 강도에 따라 다릅니다. 예를 들어 A256CBC-HS512의 경우 정확히 512비트 또는 64바이트의 키를 제공해야 합니다.

private.directkey 변수의 콘텐츠는 16진수(base16), base64 또는 base64url을 통해 인코딩된 문자열이어야 합니다. 예를 들어 다음은 16진수로 인코딩된 32바이트 키입니다.

96 4b e1 71 15 71 5f 87 11 0e 13 52 4c ec 1e ba df 47 62 1a 9d 3b f5 ad d2 7b b2 35 e7 d6 17 11

16진수 인코딩의 경우 공백이 허용되지만 필수는 아니며 대문자 또는 소문자가 허용됩니다(B7은 b7과 동일).

base64url로 인코딩된 위의 인코딩은 다음과 같습니다.

lkvhcRVxX4cRDhNSTOweut9HYhqdO/Wt0nuyNefWFxE

base64* 변형의 경우 공백이 허용되지 않으며 대소문자를 구별합니다. 인코딩을 지정하지 않으면 정책에서 인코딩이 base64라고 가정합니다.

다음은 필요한 키의 길이를 설명합니다.

콘텐츠 암호화 알고리즘 키 길이 요구사항
A128CBC-HS256 256비트(32바이트)
A192CBC-HS384 384(48)
A256CBC-HS512 512(64)
A128GCM 128(16)
A192GCM 192(24)
A256GCM 256(32)

참고: <DirectKey> 요소를 통해 제공되는 콘텐츠 암호화 키는 지정된 콘텐츠 암호화 알고리즘의 길이와 정확히 일치해야 합니다. dir 이외의 키 암호화 알고리즘의 경우 정책은 적절한 길이의 무작위 CEK를 생성하지만 dir의 경우 구성은 명시적으로 올바른 크기의 키를 제공해야 합니다.

<ExpiresIn>

<ExpiresIn>time-value-here</ExpiresIn>

or:

<ExpiresIn ref='time-value-here'/>

JWT의 수명을 밀리초, 초, 분, 시간, 일로 지정합니다. XML 요소 또는 ref 속성을 사용하여 만료를 지정하지만 둘 다 지정하지는 않습니다.

기본값 N/A
Presence 선택사항
유형 정수
유효한 값

값 또는 값을 포함하는 흐름 변수에 대한 참조입니다. 시간 단위는 다음과 같이 지정할 수 있습니다.

  • ms = 밀리초(기본값)
  • s = 초
  • m = 분
  • h = 시간
  • d = 일

예를 들어 ExpiresIn=10d는 864000s의 ExpiresIn과 같습니다.

<Id>

<Id>explicit-jti-value-here</Id>
 -or-
<Id ref='variable-name-here'/>
 -or-
<Id/>

특정 jti 클레임이 있는 JWT를 생성합니다. 텍스트 값과 ref 속성이 모두 비어있으면 정책은 임의의 UUID를 포함하는 jti를 생성합니다. JWT ID(jti) 클레임은 JWT의 고유 식별자입니다. jti에 대한 자세한 내용은 RFC7519를 참조하세요.

기본값 해당 사항 없음
Presence 선택사항
유형 문자열 또는 참조
유효한 값 문자열 또는 ID가 포함된 흐름 변수의 이름

<IgnoreUnresolvedVariables>

<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>

정책에 지정된 참조 변수를 해결할 수 없는 경우 정책에서 오류가 발생하게 하려면 false로 설정합니다. 해결할 수 없는 변수를 빈 문자열(null)로 취급하려면 true로 설정합니다.

기본값 거짓
Presence 선택사항
유형 불리언
유효한 값 true 또는 false

<Issuer>

<Issuer ref='variable-name-here'/>
<Issuer>issuer-string-here</Issuer>

이 정책은 값이 특정 값으로 설정된 iss라는 클레임을 포함하는 JWT를 생성합니다. iss라는 클레임은 JWT의 발급자를 식별하는 클레임이며, 이는 RFC7519에 언급된, 등록된 클레임 중 하나입니다.

기본값 해당 사항 없음
Presence 선택사항
유형 문자열 또는 참조
유효한 값 모두

<NotBefore>

<!-- Specify an absolute time. -->
<NotBefore>2017-08-14T11:00:21-07:00</NotBefore>
 -or-
<!-- Specify a time relative to when the token is generated. -->
<NotBefore>6h</NotBefore>

토큰이 유효해지는 시간을 지정합니다. 토큰은 지정된 시간까지 유효하지 않습니다. 절대적 시간 값 또는 토큰이 생성되는 시간을 기준으로 하는 상대적 시간을 지정할 수 있습니다.

기본값 해당 사항 없음
Presence 선택사항
유형 문자열
유효한 값 아래를 참조하세요.

절대적 시간 값에 대한 NotBefore 요소의 올바른 시간 값

이름 형식 예시
정렬 가능 yyyy-MM-dd'T'HH:mm:ss.SSSZ 2017-08-14T11:00:21.269-0700
RFC 1123 EEE, dd MMM yyyy HH:mm:ss zzz Mon, 14 Aug 2017 11:00:21 PDT
RFC 850 EEEE, dd-MMM-yy HH:mm:ss zzz Monday, 14-Aug-17 11:00:21 PDT
ANCI-C EEE MMM d HH:mm:ss yyyy Mon Aug 14 11:00:21 2017

상대적 시간 값의 경우 다음과 같이 정수와 기간을 지정합니다.

  • 10초
  • 60분
  • 12시간

<OutputVariable>

<OutputVariable>jwt-variable</OutputVariable>

이 정책으로 생성된 JWT를 저장할 위치를 지정합니다. 기본적으로 흐름 변수 jwt.POLICYNAME.generated_jwt에 저장됩니다.

기본값 jwt.POLICYNAME.generated_jwt
Presence 선택사항
유형 문자열(흐름 변수 이름)

<PasswordKey>

<PasswordKey>
  <Id>abcdefg</Id>
  <Value ref="private.password"/>
  <SaltLength>8</SaltLength>
  <PBKDF2Iterations>10000</PBKDF2>
</PasswordKey>

암호화 알고리즘이 다음 중 하나인 경우 JWT를 암호화하는 키를 지정합니다.

  • PBES2-HS256+A128KW
  • PBES2-HS384+A192KW
  • PBES2-HS512+A256KW

이러한 각각의 키 알고리즘에 대해 <Value ref="private.password"/> 요소의 private.password 변수를 통해 키 암호화 키를 파생하는 비밀번호를 제공해야 합니다.

<PasswordKey> 하위 요소

다음 표에서는 <PasswordKey> 하위 요소를 간략하게 설명합니다.

하위 요소 Presence 설명
ID 선택사항 키 식별자
필수 키 암호화 키를 생성하는 데 사용되는 비밀번호를 지정합니다. ref 속성을 사용하고 private.password와 같은 변수를 지정합니다 .
SaltLength 선택사항 솔트 길이입니다. 기본값은 8바이트입니다.
PBKDF2Iterations 선택사항 PBKDF2 반복 횟수: 기본값: 10,000

<PrivateKey>

<PrivateKey>
  <Id ref="privatekey-id"/>
  <Value ref="private.pem-encoded-privatekey"/>
  <Password ref="private.privatekey-password"/>
</PrivateKey>

서명된 JWT를 생성할 때 사용할 비공개 키를 지정합니다. Algorithm은 RSA 또는 타원 곡선(EC) 변형(RS256/RS384/RS512, PS256/PS384/PS512, ES256/ES384/ES512 중 하나)입니다.

<PrivateKey> 하위 요소

다음 표에서는 <PrivateKey>의 하위 요소에 대한 설명을 제공합니다.

하위 요소 Presence 설명
ID 선택사항

키 식별자입니다. 이 값은 어떤 문자열이라도 가능합니다. 값을 리터럴 텍스트 값으로 지정하거나 ref 속성을 사용하여 변수 참조를 통해 간접적으로 지정할 수 있습니다.

정책은 이 키 식별자를 생성된 JWT의 헤더에서 kid 클레임으로 포함합니다.

필수

PEM으로 인코딩된 비공개 키입니다. 페이로드에 서명하는 데 사용되는 비공개 키를 지정합니다. ref 속성을 사용하고 private.private-key와 같은 변수를 지정합니다 .

<Algorithm> 요소에 RSA 변형(RS256/RS384/RS512 또는 PS256/PS384/PS512 중 하나)이 포함된 경우 인코딩된 RSA 비공개 키를 제공해야 합니다. <Algorithm> 요소에 ES256/ES384/ES512 중 하나인 EC 변형이 있는 경우 해당 곡선에 타원 곡선 비공개 키를 제공해야 합니다.

비밀번호 선택사항

필요한 경우 정책에서 비공개 키를 복호화하는 데 사용할 비밀번호입니다. ref 속성을 사용하여 흐름 변수를 통해 비밀번호를 전달합니다.

참고: 흐름 변수를 지정해야 합니다. Apigee는 비밀번호가 일반 텍스트로 지정된 정책 구성을 유효하지 않다고 여겨 거부합니다. 흐름 변수에는 'private' 프리픽스가 있어야 합니다. 예를 들면 private.mypassword입니다.

<PublicKey>

<PublicKey>
  <!-- specify exactly one of the following -->
  <Value ref="variable-containing-encoded-publickey"/>
  <Value>PEM encoded public key</Value>
  <Certificate ref="variable-containing-encoded-x509-certificate"/>
  <Certificate>PEM encoded X509 certificate</Certificate>
  <JWKS>jwks-content</JWKS>
  <JWKS ref="variable-containing-jwks-content"/>
  <JWKS uri="variable-containing-jwks-content"/>
  <JWKS uriRef="variable-containing-uri"/>
</PublicKey>

암호화된 JWT를 생성할 때 사용할 공개 키를 지정합니다. Key 알고리즘은 RSA 또는 타원 곡선(EC) 변형(RSA-OAEP-256, ECDH-ES, ECDH-ES+A128KW, ECDH-ES+A192KW 또는 ECDH-ES+A256KW)입니다.

<PublicKey> 하위 요소

Value, Certificate 또는 JWKS 중 하나만 제공합니다. JWKS를 지정하면 Id도 지정해야 합니다. 다음 표에서는 <PublicKey>의 이러한 하위 요소에 대한 설명을 제공합니다.

하위 요소 설명

PEM으로 인코딩된 공개 키입니다. 정책이 콘텐츠 암호화 키를 암호화하는 데 사용할 공개 키를 지정합니다. 키를 문자 그대로 또는 변수 참조를 통해 간접적으로 지정할 수 있습니다.

<PublicKey>
  <Value ref="public.publickey"/>
</PublicKey>

또는

<PublicKey>
  <Value>
   -----BEGIN PUBLIC KEY-----
   MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAw2kPrRzcufvUNHvTH/WW
   2F73IyN....your key will vary....1jC0dwUD1lHV8MfUyRXmpmnNxJHACof
   C5TBtXMORc+us7A2cTtC4gZV256bT4h3sIEMsDl0Joz9K9MPzVPFxa1i0RgNt06n
   ZmkDb/DRW5onclGzxQITBFP3S6JXd4LNESJcTp705ec1cQ9Wp2Kl+nKrKyv1E5Xx
   DQIDAQAB
   -----END PUBLIC KEY-----
  </Value>
</PublicKey>

RSA-OAEP-256 알고리즘을 사용하는 경우에는 인코딩된 공개 키가 RSA 키를 나타내거나 EC 알고리즘을 사용하는 경우에는 적절한 곡선의 EC 키를 나타내야 합니다.

인증서

PEM으로 인코딩된 X.509 인증서로, 공개 키를 래핑합니다. Apigee는 인증서에서 공개 키를 추출한 다음 이 키를 사용하여 콘텐츠 암호화 키를 암호화합니다. 인증서를 문자 그대로 또는 변수 참조를 통해 간접적으로 지정할 수 있습니다.

<PublicKey>
 <Certificate ref="public.pem-encoded-certificate"/>
</PublicKey>

또는

<PublicKey>
  <Certificate>
  -----BEGIN CERTIFICATE-----
  MIIDqDCCApACCQCG/xVb7Yzw3zANBgkqhkiG9w0BAQUFADCBlTELMAkGA1UEBhMC
  2F73IyN....your certificate data will vary....1jC0dwUD1lHV8MfUyR
  VQQKDAZHb29nbGUxDzANBgNVBAsMBkFwaWdlZTEaMBgGA1UEAwwRYXBpZ2VlLmdv
  ...
  YjBaZuNUDVLGvbTSRgWG5lwm85Jar2zeCBcxFDwqyZFvVNV9SfoWF/LgVVpK54n8
  rknZ17USb0ob51ckxPTENmF2DUHBzgptiw10Yw==
  -----END CERTIFICATE-----
  </Certificate>
</PublicKey>

RSA-OAEP-256 알고리즘을 사용하는 경우에는 인코딩된 공개 키가 RSA 키를 나타내거나 EC 알고리즘을 사용하는 경우에는 적절한 곡선의 EC 키를 나타내야 합니다.

JWKS

공개 키의 JWKS 소스입니다. 이는 IETF RFC 7517 - JSON 웹 키(JWK)에 설명된 형식을 따르는 키 목록입니다.

다음 4가지 방법 중 하나로 JWKS를 지정할 수 있습니다.

  • 문자적으로 텍스트 값으로:

    <PublicKey>
      <JWKS>jwks-content-here</JWKS>
      <Id ref="variable-containing-a-kid">literal-value-here</Id>
    </PublicKey>
  • 간접적으로 ref 속성을 사용하여 흐름 변수 지정:

    <PublicKey>
      <JWKS ref="variable-containing-jwks-content"/>
      <Id ref="variable-containing-a-kid">literal-value-here</Id>
    </PublicKey>

    참조된 변수에는 JWKS를 나타내는 문자열이 포함되어야 합니다.

  • uri 속성을 사용하여 정적 URI를 통해 간접적으로:

    <PublicKey>
      <JWKS uri="uri-that-returns-a-jwks"/>
      <Id ref="variable-containing-a-kid">literal-value-here</Id>
    </PublicKey>
  • uriRef 속성을 사용하여 동적으로 결정되는 URI를 통해 간접적으로:

    <PublicKey>
      <JWKS uriRef="variable-containing-a-uri-that-returns-a-jwks"/>
      <Id ref="variable-containing-a-kid">literal-value-here</Id>
    </PublicKey>

모든 경우에 암호화된 JWT를 생성하기 위해 GenerateJWT 내에서 JWKS 요소를 지정할 때는 PublicKey/Id 요소도 지정해야 합니다.

<PublicKey>
  <JWKS uri="uri-that-returns-a-jwks"/>
  <Id ref="variable-containing-a-kid">literal-value-here</Id>
</PublicKey>
ID

키 식별자를 나타내는 문자열입니다. 런타임 시 Apigee는 이 값과 일치하는 kid 필드가 있는 JWKS에서 키를 검색합니다. GenerateJWT 내에서 JWKS 요소를 사용하는 경우 Id 요소가 필요합니다.

<SecretKey>

<SecretKey encoding="base16|hex|base64|base64url" >
 <Id ref="variable-containing-key-id-here">secret-key-id</Id>
 <Value ref="private.variable-here"/>
</SecretKey>

SecretKey 요소는 선택사항입니다. 대칭(HS*) 알고리즘을 사용하는 서명된 JWT를 생성하거나 키 암호화에 대칭(AES) 알고리즘을 사용하는 암호화된 JWT를 생성할 때 사용할 보안 비밀 키를 지정합니다.

<SecretKey>의 하위 요소

다음 표에서는 <SecretKey>의 하위 요소와 속성을 설명합니다.

자녀 Presence 설명
인코딩(속성) 선택사항

참조된 변수에서 키가 인코딩되는 방법을 지정합니다. 기본적으로 encoding 속성이 없으면 키 인코딩은 UTF-8로 처리됩니다. 속성에 유효한 값은 16진수, base16, base64 또는 base64url입니다. 인코딩 값 16진수와 base16은 동의어입니다.

<SecretKey encoding="VALUE_HERE" >
 <Id ref="variable-containing-key-id-here">secret-key-id</Id>
 <Value ref="private.secretkey"/>
</SecretKey>

위의 예시에서 인코딩 속성이 hex이고 변수 private.secretkey의 콘텐츠가 494c6f766541504973이면 키가 9바이트 집합으로 디코딩되며, 16진수는 49 4c 6f 76 65 41 50 49 73이 됩니다. 반대로 인코딩 속성이 base64이고 변수 private.secretkey의 컨텐츠가 VGhpcy1pcy1hLXNlY3JldA인 경우 키가 16바이트 집합으로 디코딩되므로 16진수는 54 68 69 73 2d 69 73 2d 61 2d 73 65 63 72 65 74입니다.

ID(요소) 선택사항

키 식별자입니다. 이 값은 어떤 문자열이라도 가능합니다. ref 속성을 사용하여 값을 리터럴 텍스트 값을 통해 또는 간접적으로 지정할 수 있습니다.

<SecretKey>
  <Id ref="flow-variable-name-here"/>
 <Value ref="private.variable-here"/>
</SecretKey>

or

<SecretKey>
  <Id>your-id-value-here</Id>
 <Value ref="private.variable-here"/>
</SecretKey>

정책은 이 키 식별자를 생성된 JWT의 헤더에서 kid 클레임으로 포함합니다.

값(요소) 필수

인코딩된 보안 비밀 키 페이로드에 서명하는 데 사용되는 보안 비밀 키를 지정합니다. ref 속성을 사용하여 private.secret-key와 같은 변수를 통해 간접적으로 키를 제공합니다.

<SecretKey>
 <Id ref="flow-variable-name-here"/>
  <Value ref="private.my-secret-variable"/>
</SecretKey>

Apigee는 HS256/HS384/HS512 알고리즘에 최소한의 키 안전성을 적용합니다. 최소 키 길이는 HS256의 경우 32바이트, HS384의 경우 48바이트, HS512의 경우 64바이트입니다. 낮은 안정성의 키를 사용하면 런타임 오류가 발생합니다.

<Subject>

<Subject>subject-string-here</Subject>
또는
<Subject ref="flow_variable" />

예를 들면 다음과 같습니다.

<Subject ref="apigee.developer.email"/>

이 정책은 특정 값으로 설정된 sub 클레임을 포함하는 JWT를 생성합니다. 이 클레임은 JWT의 제목을 식별하거나 설명합니다. 이는 IETF RFC 7519에 언급된, 표준 클레임 중 하나입니다.

기본값 해당 사항 없음
Presence 선택사항
유형 문자열
유효한 값 제목 또는 값을 참조하는 흐름 변수를 고유하게 식별하는 값

<Type>

<Type>type-string-here</Type>

정책이 서명된 JWT를 생성하는지 암호화된 JWT를 생성하는지 설명합니다. <Type> 요소는 선택사항입니다. 이를 통해 정책이 서명된 JWT 또는 암호화된 JWT를 생성하는지 여부를 구성의 리더에 알릴 수 있습니다.

  • <Type> 요소가 있는 경우:
    • <Type> 값이 Signed이면 정책은 서명된 JWT를 생성하며 <Algorithm> 요소가 있어야 합니다.
    • <Type> 값이 Encrypted인 경우 정책은 암호화된 JWT를 생성하며, <Algorithms> 요소가 있어야 합니다.
  • <Type> 요소가 없는 경우:
    • <Algorithm> 요소가 있는 경우 정책은 <Type>Signed라고 가정합니다.
    • <Algorithms> 요소가 있는 경우 정책은 <Type>Encrypted라고 가정합니다.
  • <Algorithm><Algorithms>가 모두 없으면 구성이 유효하지 않습니다.
기본값 해당 사항 없음
Presence 선택사항
유형 문자열
유효한 값 Signed 또는 Encrypted

흐름 변수

Generate JWT 정책은 흐름 변수를 설정하지 않습니다.

오류 참조

이 섹션에서는 반환되는 오류 코드 및 오류 메시지와 이 정책이 오류를 트리거할 때 Apigee에서 설정한 오류 변수를 설명합니다. 오류를 처리하기 위해 오류 규칙을 개발 중인 경우, 이 정보는 중요합니다. 자세한 내용은 정책 오류에 대해 알아야 할 사항오류 처리를 참조하세요.

런타임 오류

이러한 오류는 정책이 실행될 때 발생할 수 있습니다.

오류 코드 HTTP 상태 발생 상황
steps.jwt.AlgorithmInTokenNotPresentInConfiguration 401 확인 정책에 알고리즘이 여러 개 있으면 발생합니다.
steps.jwt.AlgorithmMismatch 401 생성 정책에 지정된 알고리즘이 확인 정책에서 예상되는 알고리즘과 일치하지 않습니다. 지정된 알고리즘이 일치해야 합니다.
steps.jwt.EncryptionFailed 401 비특정 이유로 암호화된 JWT를 만들 수 없음
steps.jwt.FailedToDecode 401 정책이 JWT를 디코딩할 수 없습니다. JWT가 손상되었을 수 있습니다.
steps.jwt.GenerationFailed 401 정책이 JWT를 생성하지 못했습니다.
steps.jwt.InsufficientKeyLength 401 HS256 알고리즘은 32바이트 미만, HS386 알고리즘은 48바이트 미만, HS512 알고리즘은 64바이트 미만의 키일 때 발생합니다.
steps.jwt.InvalidClaim 401 소유권 클레임 누락 또는 소유권 클레임 불일치, 헤더 또는 헤더 불일치 누락일 때 발생합니다.
steps.jwt.InvalidConfiguration 401 <Algorithm><Algorithms> 요소가 모두 있습니다.
steps.jwt.InvalidCurve 401 키에서 지정한 곡선은 타원 곡선 알고리즘에 유효하지 않습니다.
steps.jwt.InvalidJsonFormat 401 헤더 또는 페이로드에 잘못된 JSON이 있습니다.
steps.jwt.InvalidPasswordKey 401 지정된 키가 요구사항을 충족하지 않습니다.
steps.jwt.InvalidPrivateKey 401 지정된 키가 요구사항을 충족하지 않습니다.
steps.jwt.InvalidPublicKey 401 지정된 키가 요구사항을 충족하지 않습니다.
steps.jwt.InvalidSecretKey 401 지정된 키가 요구사항을 충족하지 않습니다.
steps.jwt.InvalidToken 401 이 오류는 JWT 서명 확인이 실패하면 발생합니다.
steps.jwt.JwtAudienceMismatch 401 토큰 확인 시 잠재 고객 소유권 주장이 실패했습니다.
steps.jwt.JwtIssuerMismatch 401 발급기관 클레임이 토큰 확인에 실패했습니다.
steps.jwt.JwtSubjectMismatch 401 주체 클레임이 토큰 확인에 실패했습니다.
steps.jwt.KeyIdMissing 401 확인 정책은 JWKS를 공개 키의 소스로 사용하지만 서명된 JWT에는 헤더의 kid 속성이 포함되지 않습니다.
steps.jwt.KeyParsingFailed 401 지정된 키 정보에서 공개 키를 파싱할 수 없습니다.
steps.jwt.NoAlgorithmFoundInHeader 401 JWT에 알고리즘 헤더가 없으면 발생합니다.
steps.jwt.NoMatchingPublicKey 401 인증 정책은 JWKS를 공개 키의 소스로 사용하지만 서명된 JWT의 kid가 JWKS에 나열되지 않습니다.
steps.jwt.SigningFailed 401 GenerateJWT에서 HS384 또는 HS512 알고리즘의 최소 크기보다 작은 키일 때 발생합니다.
steps.jwt.TokenExpired 401 정책이 만료된 토큰을 확인하려고 시도합니다.
steps.jwt.TokenNotYetValid 401 토큰이 아직 유효하지 않습니다.
steps.jwt.UnhandledCriticalHeader 401 crit 헤더의 JWT 인증 정책에서 찾은 헤더가 KnownHeaders에 표시되지 않습니다.
steps.jwt.UnknownException 401 알 수 없는 예외가 발생했습니다.
steps.jwt.WrongKeyType 401 잘못된 유형의 키가 지정되었습니다. 예를 들어 타원 곡선 알고리즘의 RSA 키를 지정하거나 RSA 알고리즘의 곡선 키를 지정하는 경우입니다.

배포 오류

이 오류는 이 정책이 포함된 프록시를 배포할 때 발생할 수 있습니다.

오류 이름 원인 해결
InvalidNameForAdditionalClaim <AdditionalClaims> 요소의 하위 요소 <Claim>에 사용된 클레임이 다음 등록된 이름 kid, iss, sub, aud, iat, exp, nbf 또는 jti 중 하나인 경우 배포가 실패합니다.
InvalidTypeForAdditionalClaim <AdditionalClaims> 요소의 하위 요소 <Claim>에 사용된 클레임 유형이 string, number, boolean 또는 map 유형이 아닌 경우 배포가 실패합니다.
MissingNameForAdditionalClaim <AdditionalClaims> 요소의 하위 요소 <Claim>에서 클레임 이름이 지정되지 않으면 배포가 실패합니다.
InvalidNameForAdditionalHeader <AdditionalClaims> 요소의 하위 요소 <Claim>에 사용된 클레임 이름이 alg 또는 typ인 경우 이 오류가 발생합니다.
InvalidTypeForAdditionalHeader <AdditionalClaims> 요소의 하위 요소 <Claim>에 사용된 클레임 유형이 string, number, boolean 또는 map 유형이 아닌 경우 배포가 실패합니다.
InvalidValueOfArrayAttribute 이 오류는 <AdditionalClaims> 요소의 하위 요소 <Claim>에 있는 배열 속성 값이 true 또는 false로 설정되지 않은 경우 발생합니다.
InvalidConfigurationForActionAndAlgorithm <PrivateKey> 요소가 HS 계열 알고리즘에서 사용되거나 <SecretKey> 요소가 RSA 계열 알고리즘에 사용되는 경우 배포가 실패합니다.
InvalidValueForElement <Algorithm> 요소에 지정된 값이 지원되는 값이 아니면 배포가 실패합니다.
MissingConfigurationElement 이 오류는 <PrivateKey> 요소가 RSA 계열 알고리즘에서 사용되지 않거나 <SecretKey> 요소가 HS 계열 알고리즘에 사용되지 않는 경우 발생합니다.
InvalidKeyConfiguration 하위 요소 <Value><PrivateKey> 또는 <SecretKey> 요소에 정의되어 있지 않은 경우 배포가 실패합니다.
EmptyElementForKeyConfiguration <PrivateKey> 또는 <SecretKey> 요소의 하위 요소 <Value>의 ref 속성이 비어 있거나 지정되지 않은 경우 배포가 실패합니다.
InvalidVariableNameForSecret 이 오류는 <PrivateKey> 또는 <SecretKey> 요소의 하위 요소 <Value>에 있는 ref 속성에 지정된 흐름 변수 이름에 비공개 프리픽스 (private.)가 포함되지 않은 경우에 발생합니다.
InvalidSecretInConfig 이 오류는 <PrivateKey> 또는 <SecretKey> 요소의 하위 요소 <Value>에 비공개 프리픽스 (private.)이 포함되지 않은 경우에 발생합니다.
InvalidTimeFormat <NotBefore> 요소에 지정된 값이 지원되는 형식을 사용하지 않으면 배포가 실패합니다.

오류 변수

이러한 변수는 런타임 오류가 발생하면 설정됩니다. 자세한 내용은 정책 오류에 대해 알아야 할 사항을 참조하세요.

변수 장소
fault.name="fault_name" fault_name은 위의 런타임 오류 표에 나열된 오류 이름입니다. 오류 이름은 오류 코드의 마지막 부분입니다. fault.name Matches "InvalidToken"
JWT.failed 모든 JWT 정책은 오류 발생 시 동일한 변수를 설정합니다. JWT.failed = true

오류 응답 예시

JWT 정책 오류 코드

오류 처리에서 권장사항은 오류 응답의 errorcode 부분을 트래핑하는 것입니다. 변경될 수 있으므로 faultstring의 텍스트에 의존하지 마세요.

오류 규칙 예시

    <FaultRules>
        <FaultRule name="JWT Policy Errors">
            <Step>
                <Name>JavaScript-1</Name>
                <Condition>(fault.name Matches "InvalidToken")</Condition>
            </Step>
            <Condition>JWT.failed=true</Condition>
        </FaultRule>
    </FaultRules>