מדיניות GenerateJWT

הדף הזה רלוונטי ל-Apigee ול-Apigee Hybrid.

לעיון במסמכי התיעוד של Apigee Edge

המדיניות GenerateJWT יוצרת JWT חתום או JWT מוצפן, עם קבוצה של הצהרות שאפשר להגדיר. אחר כך אפשר להחזיר את ה-JWT ללקוחות, להעביר אותו ליעדי קצה עורפיים או להשתמש בו בדרכים אחרות. מידע מפורט זמין במאמר סקירה כללית של מדיניות JWS ו-JWT.

האם המדיניות יוצרת JWT חתום או מוצפן תלוי ברכיב שבו משתמשים כדי לציין את האלגוריתם שיוצר את ה-JWT:

• אם משתמשים ברכיב <Algorithm>, המדיניות יוצרת JWT חתום.
• אם משתמשים ברכיב <Algorithms>, המדיניות יוצרת אסימון JWT מוצפן.

המדיניות הזו היא מדיניות ניתנת להרחבה, והשימוש בה עשוי להשפיע על העלויות או על ניצול המשאבים, בהתאם לרישיון Apigee שלכם. מידע על סוגי המדיניות וההשלכות של השימוש בהם זמין במאמר סוגי מדיניות.

יצירת JWT חתום

בקטע הזה מוסבר איך ליצור אסימון JWT בחתימה. במקרה של JWT חתום, משתמשים ברכיב <Algorithm> כדי לציין את האלגוריתם לחתימה על המפתח.

דוגמאות ל-JWT חתום

בדוגמאות הבאות מוסבר איך ליצור JWT חתום.

<GenerateJWT name="JWT-Generate-HS256">
    <DisplayName>JWT Generate HS256</DisplayName>
    <Type>Signed</Type>
    <Algorithm>HS256</Algorithm>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <SecretKey>
        <Value ref="private.secretkey"/>
        <Id>1918290</Id>
    </SecretKey>
    <ExpiresIn>1h</ExpiresIn>
    <Subject>monty-pythons-flying-circus</Subject>
    <Issuer>urn://apigee-JWT-policy-test</Issuer>
    <Audience>fans</Audience>
    <Id/>
    <AdditionalClaims>
        <Claim name="show">And now for something completely different.</Claim>
    </AdditionalClaims>
    <OutputVariable>jwt-variable</OutputVariable>
</GenerateJWT>

{
  "typ" : "JWT",
  "alg" : "HS256",
  "kid" : "1918290"
}

{
  "sub" : "monty-pythons-flying-circus",
  "iss" : "urn://apigee-JWT-policy-test",
  "aud" : "fans",
  "iat" : 1506553019,
  "exp" : 1506556619,
  "jti" : "BD1FF263-3D25-4593-A685-5EC1326E1F37",
  "show": "And now for something completely different."
}

<GenerateJWT name="JWT-Generate-RS256">
    <Type>Signed</Type>
    <Algorithm>RS256</Algorithm>
    <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
    <PrivateKey>
        <Value ref="private.privatekey"/>
        <Password ref="private.privatekey-password"/>
        <Id ref="private.privatekey-id"/>
    </PrivateKey>
    <Subject>apigee-seattle-hatrack-montage</Subject>
    <Issuer>urn://apigee-JWT-policy-test</Issuer>
    <Audience>urn://c60511c0-12a2-473c-80fd-42528eb65a6a</Audience>
    <ExpiresIn>60m</ExpiresIn>
    <Id/>
    <AdditionalClaims>
        <Claim name="show">And now for something completely different.</Claim>
    </AdditionalClaims>
    <OutputVariable>jwt-variable</OutputVariable>
</GenerateJWT>

בדוגמאות שלמעלה נעשה שימוש ברכיב <Algorithm>, ולכן נוצר JWT חתום. רכיב <PrivateKey> מציין את המפתח הקריפטוגרפי שמשמש לחתימה על ה-JWT. יש גם רכיבים חשובים אחרים. האלגוריתם שבו משתמשים תלוי באלגוריתם שצוין בערך של <Algorithm>, כפי שמתואר בקטע הבא.

הגדרת רכיבי המפתח של JWT חתום

כדי לציין את המפתח שמשמש ליצירת JWT חתום, צריך להשתמש בדיוק באחד מהרכיבים הבאים:

• <SecretKey>
• <PrivateKey>

הרכיב שבו משתמשים תלוי באלגוריתם שנבחר, כפי שמוצג בטבלה הבאה:

<SecretKey>
  <Value ref="private.secretkey"/>
  <Id ref="secretkey-id">key-1918290</Id>
</SecretKey>

<PrivateKey>
  <Value ref="private.privatekey"/>
  <Password ref="private.privatekey-password"/>
  <Id ref="privatekey-id">key-1918290</Id>
</PrivateKey>

בדוגמאות שלמעלה, הרכיבים <Password> ו-<Id> הם אופציונליים.

מידע נוסף על דרישות המפתח מופיע במאמר בנושא אלגוריתמים להצפנת חתימות.

יצירת JWT מוצפן

בקטע הזה מוסבר איך ליצור אסימון JWT מוצפן. במקרה של JWT מוצפן, משתמשים ברכיב <Algorithms> כדי לציין את האלגוריתמים לחתימה על המפתח והתוכן.

דוגמה ל-JWT מוצפן

בדוגמה הבאה אפשר לראות איך ליצור JWT מוצפן. בדוגמה נעשה שימוש ברכיב <Algorithms>, ולכן נוצר אסימון JWT מוצפן.

<GenerateJWT name="gjwt-1">
  <Type>Encrypted</Type>
  <Algorithms>
    <Key>RSA-OAEP-256</Key>
    <Content>A128GCM</Content>
  </Algorithms>
  <PublicKey>
    <Value ref="rsa_publickey"/>
  </PublicKey>
  <Subject>subject@example.com</Subject>
  <Issuer>urn://apigee</Issuer>
  <ExpiresIn>1h</ExpiresIn>
  <AdditionalHeaders>
    <Claim name="moniker">Harvey</Claim>
  </AdditionalHeaders>
  <OutputVariable>output_var</OutputVariable>
</GenerateJWT>

<GenerateJWT name='gjwt-2'>
  <Algorithms>
    <Key>A128KW</Key>
    <Content>A128GCM</Content>
  </Algorithms>
  <IgnoreUnresolvedVariables>false</IgnoreUnresolvedVariables>
  <SecretKey>
    <Value ref='private.secretkey'/>
  </SecretKey>
  <Subject>subject@example.com</Subject>
  <Issuer>urn://apigee</Issuer>
  <ExpiresIn>1h</ExpiresIn>
  <OutputVariable>output_var</OutputVariable>
</GenerateJWT>

הגדרת רכיבי המפתח עבור JWT מוצפן

כדי ליצור JWT מוצפן, צריך להשתמש בדיוק באחד מהרכיבים הבאים כדי לציין את מפתח ההצפנה עבור GenerateJWT:

• <PublicKey>
• <SecretKey>
• <PasswordKey>
• <DirectKey>

הרכיב שבו משתמשים תלוי באלגוריתם ההצפנה של המפתח שנבחר, כפי שמוצג בטבלה הבאה:

<PublicKey>
  <Value ref="rsa_publickey"/>
</PublicKey>

<PublicKey>
  <Value ref="ec_publickey"/>
</PublicKey>

<SecretKey>
  <Id>optional key identifier here</Id>
  <Value ref="private.secretkey"/>
</SecretKey>

<PasswordKey>
  <Id>optional key identifier here</Id>
  <Value ref="private.passwordkey"/>
  <SaltLength>
  <PBKDF2Iterations>
</PasswordKey>

<DirectKey>
  <Id>optional key identifier here</Id>
  <Value encoding="base16|hex|base64|base64url" ref="private.directkey"/>
</DirectKey>

מידע נוסף על דרישות המפתח מופיע במאמר מידע על אלגוריתמים להצפנת חתימות.

הפניה לרכיב Generate JWT

ההפניה למדיניות מתארת את האלמנטים והמאפיינים של מדיניות Generate JWT.

הערה: ההגדרה תשתנה בהתאם לאלגוריתם ההצפנה שבו אתם משתמשים. במאמרים דוגמאות ל-JWT חתום ודוגמה ל-JWT מוצפן מופיעות דוגמאות שמדגימות הגדרות לתרחישי שימוש ספציפיים.

מאפיינים שחלים על הרכיב ברמה העליונה

<GenerateJWT name="JWT" continueOnError="false" enabled="true" async="false">

המאפיינים הבאים משותפים לכל רכיבי ההורה של המדיניות.

<DisplayName>

<DisplayName>Policy Display Name</DisplayName>

משתמשים בו בנוסף למאפיין name כדי לתת למדיניות תווית בכלי לעריכת proxy בממשק המשתמש של Apigee, עם שם אחר בשפה טבעית.

<Algorithm>

<Algorithm>algorithm-here</Algorithm>

מציין את האלגוריתם הקריפטוגרפי שמשמש לחתימה על האסימון. משתמשים ברכיב <Algorithm> כדי ליצור JWT חתום.

<Algorithms>

<Algorithms>
    <Key>key-algorithm</Key>
    <Content>content-algorithm</Content>
</Algorithms>

מציינת את האלגוריתמים הקריפטוגרפיים להצפנה של המפתח והתוכן. משתמשים ברכיב <Algorithms> כדי ליצור JWT מוצפן.

רכיבי צאצא של <Algorithms>

בטבלה הבאה מופיע תיאור כללי של רכיבי הצאצא של <Algorithms>:

אלגוריתמים להצפנת מפתחות

בטבלה הבאה מפורטים האלגוריתמים הזמינים להצפנת מפתחות.

במאמר יצירת JWT מוצפן יש דוגמה שבה אלגוריתם הצפנת המפתח הוא RSA-OAEP-256, ולכן משתמשים ברכיב <PublicKey> עם ערך שמתורגם למפתח RSA ציבורי.

אלגוריתמים להצפנת תוכן

האלגוריתמים הבאים (סימטריים, מבוססי AES) זמינים להצפנת תוכן:

• A128CBC-HS256
• A192CBC-HS384
• A256CBC-HS512
• A128GCM
• A192GCM
• A256GCM

מידע נוסף על כל האלגוריתמים האלה זמין ב-RFC7518.

<Audience>

<Audience>audience-here</Audience>

or:

<Audience ref='variable_containing_audience'/>

המדיניות יוצרת JWT שמכיל הצהרת aud שהערך שלה מוגדר לערך שצוין. ההצהרה הזו מזהה את הנמענים שה-JWT מיועד להם. זוהי אחת מהטענות הרשומות שמוזכרות ב-RFC7519.

<AdditionalClaims/Claim>

<AdditionalClaims>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
</AdditionalClaims>

or:

<AdditionalClaims ref='claim_payload'/>

מאפשר לציין צמדים נוספים של שם/ערך של טענה במטען הייעודי(payload) של ה-JWT. אפשר לציין את הטענה באופן מפורש כמחרוזת, כמספר, כערך בוליאני, כמפה או כמערך. מפה היא פשוט קבוצה של צמדי שם/ערך.

רכיב <Claim> מקבל את המאפיינים הבאים:

• ‫name – (חובה) שם התלונה.
• ‫ref – (אופציונלי) השם של משתנה של זרימת נתונים. אם המשתנה הזה קיים, המדיניות תשתמש בערך שלו כמאפיין. אם מציינים גם מאפיין ref וגם ערך הצהרה מפורש, ערך ברירת המחדל הוא הערך המפורש, והמערכת משתמשת בו אם משתנה הזרימה שאליו מתבצעת ההפניה לא נפתר.
• ‫type – (אופציונלי) אחד מהערכים הבאים: string (ברירת מחדל), number,‏ boolean או map
• ‫array – (אופציונלי) מגדירים את הערך true כדי לציין אם הערך הוא מערך של סוגים. ברירת מחדל: false.

כשכוללים את הרכיב <Claim>, שמות הטענות מוגדרים באופן סטטי כשמגדירים את המדיניות. אפשרות אחרת היא להעביר אובייקט JSON כדי לציין את שמות הטענות. מכיוון שאובייקט ה-JSON מועבר כמשתנה, שמות הטענות ב-JWT שנוצר נקבעים בזמן הריצה.

לדוגמה:

<AdditionalClaims ref='json_claims'/>

כאשר המשתנה json_claims מכיל אובייקט JSON בפורמט:

{
  "sub" : "person@example.com",
  "iss" : "urn://secure-issuer@example.com",
  "non-registered-claim" : {
    "This-is-a-thing" : 817,
    "https://example.com/foobar" : { "p": 42, "q": false }
  }
}

ה-JWT שנוצר כולל את כל ההצהרות באובייקט ה-JSON.

<AdditionalHeaders/Claim>

<AdditionalHeaders>
    <Claim name='claim1'>explicit-value-of-claim-here</Claim>
    <Claim name='claim2' ref='variable-name-here'/>
    <Claim name='claim3' ref='variable-name-here' type='boolean'/>
    <Claim name='claim4' ref='variable-name' type='string' array='true'/>
 </AdditionalHeaders>

הוספת צמדי שם/ערך של הצהרות נוספות לכותרת של ה-JWT.

רכיב <Claim> מקבל את המאפיינים הבאים:

• ‫name – (חובה) שם התלונה.
• ‫ref – (אופציונלי) השם של משתנה של זרימת נתונים. אם המשתנה הזה קיים, המדיניות תשתמש בערך שלו כמאפיין. אם מציינים גם מאפיין ref וגם ערך הצהרה מפורש, ערך ברירת המחדל הוא הערך המפורש, והמערכת משתמשת בו אם משתנה הזרימה שאליו מתבצעת ההפניה לא נפתר.
• ‫type – (אופציונלי) אחד מהערכים הבאים: string (ברירת מחדל), number,‏ boolean או map
• ‫array – (אופציונלי) מגדירים את הערך true כדי לציין אם הערך הוא מערך של סוגים. ברירת מחדל: false.

<Compress>

<Compress>true</Compress>

ההגדרה קובעת אם הטקסט דחוס לפני ההצפנה. האלמנט הזה תקף רק כשיוצרים אסימון JWT מוצפן.

<CriticalHeaders>

<CriticalHeaders>a,b,c</CriticalHeaders>

or:

<CriticalHeaders ref=’variable_containing_headers’/>

הכותרת הקריטית, crit, נוספת לכותרת ה-JWT. הכותרת crit היא מערך של שמות כותרות שצריכים להיות מוכרים ומזוהים על ידי המקבל של ה-JWT. לדוגמה:

{
  "typ": "...",
  "alg" : "...",
  "crit" : [ "a", "b", "c" ],
}

על פי המפרט, הצדדים המאמתים צריכים לבדוק את הכותרת crit ולאמת שכל אחת מהכותרות האלה מובנת. לדוגמה, המדיניות VerifyJWT בודקת את הכותרת crit. לכל פריט שמופיע בכותרת crit, המערכת בודקת שהאלמנט <KnownHeaders> של מדיניות VerifyJWT גם כולל את הכותרת הזו. אם המדיניות VerifyJWT מוצאת בכותרת crit שדה שלא מופיע גם ב-<KnownHeaders>, המדיניות VerifyJWT תיכשל.

<CustomClaims>

הערה: בשלב הזה, רכיב CustomClaims מוכנס כשמוסיפים מדיניות GenerateJWT חדשה דרך ממשק המשתמש. האלמנט הזה לא פונקציונלי והמערכת מתעלמת ממנו. במקום זאת, צריך להשתמש ברכיב הנכון <AdditionalClaims>. נעדכן את ממשק המשתמש כדי להוסיף את הרכיבים הנכונים במועד מאוחר יותר.

<DirectKey>

<DirectKey>
  <Id>A12345</Id>
  <Value encoding="base16|hex|base64|base64url" ref="private.directkey"/>
</DirectKey>

מציין מפתח ישיר להצפנת JWT כשהאלגוריתם להצפנה הוא dir ("הצפנה ישירה").

רכיבי צאצא של <DirectKey>

בטבלה הבאה מופיע תיאור כללי של רכיבי הצאצא של <DirectKey>:

בהצפנה ישירה של מפתחות, אתם יכולים לספק ישירות סדרה של בייטים שישמשו כמפתח להצפנת תוכן (CEK). חובה לציין את מערך הבייטים כמחרוזת מקודדת. האורך הנדרש של מערך הבייטים תלוי בעוצמה של אלגוריתם ההצפנה של התוכן שנבחר. לדוגמה, עבור A256CBC-HS512, צריך לספק מפתח של בדיוק 512 ביט, או 64 בייט.

התוכן של המשתנה private.directkey חייב להיות מחרוזת מקודדת, באמצעות הקסדצימלי (base16),‏ base64 או base64url. לדוגמה, הנה מפתח של 32 בייט שמקודד בפורמט הקסדצימלי:

96 4b e1 71 15 71 5f 87 11 0e 13 52 4c ec 1e ba df 47 62 1a 9d 3b f5 ad d2 7b b2 35 e7 d6 17 11

בקידוד הקסדצימלי, רווחים מתקבלים אבל לא נדרשים, ואפשר להשתמש באותיות רישיות או קטנות (B7 זהה ל-b7).

הקידוד המקביל ב-base64url הוא:

lkvhcRVxX4cRDhNSTOweut9HYhqdO/Wt0nuyNefWFxE

בגרסאות base64* ‎, רווחים לא מתקבלים והאותיות קטנות או גדולות משנות. אם לא מציינים קידוד, המדיניות מניחה שהקידוד הוא base64.

בהמשך מפורטת אורך המפתחות הנדרש:

הערה: אורך מפתח ההצפנה של התוכן שמוגדר באמצעות רכיב <DirectKey> חייב להיות בדיוק האורך הנכון לאלגוריתם ההצפנה של התוכן שצוין. לכל אלגוריתם אחר להצפנת מפתח מלבד dir, המדיניות יוצרת CEK אקראי באורך הנכון, אבל לגבי dir, ההגדרה צריכה לספק מפתח בגודל הנכון באופן מפורש.

<ExpiresIn>

<ExpiresIn>time-value-here</ExpiresIn>

or:

<ExpiresIn ref='time-value-here'/>

מציינים את משך החיים של ה-JWT באלפיות השנייה, בשניות, בדקות, בשעות או בימים. מציינים את תאריך התפוגה באמצעות רכיב ה-XML או מאפיין ה-ref, אבל לא באמצעות שניהם.

<Id>

<Id>explicit-jti-value-here</Id>
 -or-
<Id ref='variable-name-here'/>
 -or-
<Id/>

יוצר JWT עם טענת jti ספציפית. אם ערך הטקסט ומאפיין ההפניה ריקים, המדיניות תיצור jti שמכיל UUID אקראי. המאפיין JWT ID ‏ (jti) הוא מזהה ייחודי של ה-JWT. מידע נוסף על jti זמין ב-RFC7519.

<IgnoreUnresolvedVariables>

<IgnoreUnresolvedVariables>true|false</IgnoreUnresolvedVariables>

מגדירים את הערך כ-FALSE אם רוצים שהמדיניות תקפיץ הודעת שגיאה (throw) כשמשתנה כלשהו שמוגדר בה לא ניתן לפתרון. הגדרה ל-true תגרום להתייחסות לכל משתנה שלא ניתן לפתור כמחרוזת ריקה (null).

<Issuer>

<Issuer ref='variable-name-here'/>
<Issuer>issuer-string-here</Issuer>

המדיניות יוצרת JWT שמכיל הצהרה עם השם iss,עם ערך שמוגדר לערך שצוין. הצהרה שמזהה את המנפיק של ה-JWT. זו אחת מהטענות הרשומות שמוזכרות ב-RFC7519.

<NotBefore>

<!-- Specify an absolute time. -->
<NotBefore>2017-08-14T11:00:21-07:00</NotBefore>
 -or-
<!-- Specify a time relative to when the token is generated. -->
<NotBefore>6h</NotBefore>

השדה הזה מציין את השעה שבה הטוקן הופך לתקף. הטוקן לא תקף עד לזמן שצוין. אפשר לציין ערך זמן אבסולוטי או זמן יחסי למועד שבו נוצר האסימון.

ערכי זמן תקינים לרכיב NotBefore עבור ערכי זמן מוחלטים

לערכי זמן יחסיים, מציינים מספר שלם ותקופת זמן, לדוגמה:

• ‫10 שניות
• ‫60 מ'
• ‫12 שעות

<OutputVariable>

<OutputVariable>jwt-variable</OutputVariable>

מציינת איפה למקם את אסימון ה-JWT שנוצר על ידי המדיניות הזו. כברירת מחדל, הוא ממוקם במשתנה הזרימה jwt.POLICYNAME.generated_jwt.

<PasswordKey>

<PasswordKey>
  <Id>abcdefg</Id>
  <Value ref="private.password"/>
  <SaltLength>8</SaltLength>
  <PBKDF2Iterations>10000</PBKDF2>
</PasswordKey>

מציינת מפתח להצפנת JWT כשהאלגוריתם להצפנה הוא אחד מהבאים:

• PBES2-HS256+A128KW
• PBES2-HS384+A192KW
• PBES2-HS512+A256KW

עבור כל אחד מאלגוריתמי המפתחות האלה, צריך לספק סיסמה שממנה נגזר מפתח הצפנת המפתח, באמצעות המשתנה private.password ברכיב <Value ref="private.password"/>.

רכיבי צאצא של <PasswordKey>

בטבלה הבאה מופיע תיאור כללי של רכיבי הצאצא של <PasswordKey>:

<PrivateKey>

<PrivateKey>
  <Id ref="privatekey-id"/>
  <Value ref="private.pem-encoded-privatekey"/>
  <Password ref="private.privatekey-password"/>
</PrivateKey>

מציינים את המפתח הפרטי שבו רוצים להשתמש כשיוצרים JWT חתום, והערך Algorithm הוא וריאציה של RSA או של עקומה אליפטית (EC) – אחת מהאפשרויות RS256/RS384/RS512,‏ PS256/PS384/PS512 או ES256/ES384/ES512.

רכיבי צאצא של <PrivateKey>

בטבלה הבאה מפורטים רכיבי הצאצא של <PrivateKey>:

<PublicKey>

<PublicKey>
  <!-- specify exactly one of the following -->
  <Value ref="variable-containing-encoded-publickey"/>
  <Value>PEM encoded public key</Value>
  <Certificate ref="variable-containing-encoded-x509-certificate"/>
  <Certificate>PEM encoded X509 certificate</Certificate>
  <JWKS>jwks-content</JWKS>
  <JWKS ref="variable-containing-jwks-content"/>
  <JWKS uri="variable-containing-jwks-content"/>
  <JWKS uriRef="variable-containing-uri"/>
</PublicKey>

מציין את המפתח הציבורי שבו יש להשתמש כשיוצרים JWT מוצפן, ואת Keyהאלגוריתם שהוא וריאציה של RSA או של עקומה אליפטית (EC) – RSA-OAEP-256,‏ ECDH-ES,‏ ECDH-ES+A128KW,‏ ECDH-ES+A192KW או ECDH-ES+A256KW.

רכיבי צאצא של <PublicKey>

צריך לציין בדיוק אחד מהערכים Value, Certificate או JWKS. אם מציינים את JWKS, צריך לציין גם את Id. בטבלה הבאה מפורטים רכיבי הצאצא של <PublicKey>:

<PublicKey>
  <Value ref="public.publickey"/>
</PublicKey>

<PublicKey>
  <Value>
   -----BEGIN PUBLIC KEY-----
   MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAw2kPrRzcufvUNHvTH/WW
   2F73IyN....your key will vary....1jC0dwUD1lHV8MfUyRXmpmnNxJHACof
   C5TBtXMORc+us7A2cTtC4gZV256bT4h3sIEMsDl0Joz9K9MPzVPFxa1i0RgNt06n
   ZmkDb/DRW5onclGzxQITBFP3S6JXd4LNESJcTp705ec1cQ9Wp2Kl+nKrKyv1E5Xx
   DQIDAQAB
   -----END PUBLIC KEY-----
  </Value>
</PublicKey>

<PublicKey>
 <Certificate ref="public.pem-encoded-certificate"/>
</PublicKey>

<PublicKey>
  <Certificate>
  -----BEGIN CERTIFICATE-----
  MIIDqDCCApACCQCG/xVb7Yzw3zANBgkqhkiG9w0BAQUFADCBlTELMAkGA1UEBhMC
  2F73IyN....your certificate data will vary....1jC0dwUD1lHV8MfUyR
  VQQKDAZHb29nbGUxDzANBgNVBAsMBkFwaWdlZTEaMBgGA1UEAwwRYXBpZ2VlLmdv
  ...
  YjBaZuNUDVLGvbTSRgWG5lwm85Jar2zeCBcxFDwqyZFvVNV9SfoWF/LgVVpK54n8
  rknZ17USb0ob51ckxPTENmF2DUHBzgptiw10Yw==
  -----END CERTIFICATE-----
  </Certificate>
</PublicKey>

<PublicKey>
  <JWKS uri="uri-that-returns-a-jwks"/>
  <Id ref="variable-containing-a-kid">literal-value-here</Id>
</PublicKey>

<SecretKey>

<SecretKey encoding="base16|hex|base64|base64url" >
 <Id ref="variable-containing-key-id-here">secret-key-id</Id>
 <Value ref="private.variable-here"/>
</SecretKey>

האלמנט SecretKey הוא אופציונלי. הוא מציין את המפתח הסודי שבו יש להשתמש כשיוצרים JWT חתום שמשתמש באלגוריתם סימטרי (HS*) או כשיוצרים JWT מוצפן שמשתמש באלגוריתם סימטרי (AES) להצפנת מפתח.

ילדים של <SecretKey>

בטבלה הבאה מפורטים מאפייני הצאצא של <SecretKey>:

<SecretKey encoding="VALUE_HERE" >
 <Id ref="variable-containing-key-id-here">secret-key-id</Id>
 <Value ref="private.secretkey"/>
</SecretKey>

<SecretKey>
  <Id ref="flow-variable-name-here"/>
 <Value ref="private.variable-here"/>
</SecretKey>

or

<SecretKey>
  <Id>your-id-value-here</Id>
 <Value ref="private.variable-here"/>
</SecretKey>

<SecretKey>
 <Id ref="flow-variable-name-here"/>
  <Value ref="private.my-secret-variable"/>
</SecretKey>

<Subject>

<Subject>subject-string-here</Subject>

<Subject ref="flow_variable" />

לדוגמה:

<Subject ref="apigee.developer.email"/>

המדיניות יוצרת JWT שמכיל הצהרה מסוג sub, שמוגדרת לערך שצוין.ההצהרה הזו מזהה את הנושא של ה-JWT או מצהירה עליו. זו אחת מהטענות הסטנדרטיות שמוזכרות ב- IETF RFC 7519.

<Type>

<Type>type-string-here</Type>

מתאר אם המדיניות יוצרת JWT חתום או JWT מוצפן. האלמנט <Type> הוא אופציונלי. אפשר להשתמש בה כדי ליידע את הקוראים לגבי ההגדרה, אם המדיניות יוצרת JWT חתום או מוצפן.

• אם רכיב <Type> קיים:
  • אם הערך של <Type> הוא Signed, המדיניות יוצרת JWT חתום, וצריך שיופיע הרכיב <Algorithm>.
  • אם הערך של <Type> הוא Encrypted, המדיניות תיצור JWT מוצפן, והרכיב <Algorithms> חייב להיות קיים.
• אם רכיב <Type> לא מופיע:
  • אם הרכיב <Algorithm> קיים, המדיניות מניחה שהערך של <Type> הוא Signed.
  • אם הרכיב <Algorithms> קיים, המדיניות מניחה ש-<Type> הוא Encrypted.
• אם אף אחד מהפרמטרים <Algorithm> ו-<Algorithms> לא מופיע, ההגדרה לא תקינה.

משתני Flow

המדיניות Generate JWT לא מגדירה משתני זרימה.

הפניה לשגיאה

בקטע הזה מתוארים קודי השגיאות והודעות השגיאה שמוחזרים, ומשתני השגיאה שמוגדרים על ידי Apigee כשהמדיניות הזו מפעילה שגיאה. חשוב לדעת את המידע הזה אם אתם מפתחים כללי תקלות לטיפול בתקלות. מידע נוסף על שגיאות שקשורות למדיניות ועל טיפול בשגיאות

שגיאות זמן ריצה

השגיאות האלה יכולות להתרחש כשהמדיניות מופעלת.

שגיאות פריסה

השגיאות האלה יכולות להתרחש כשפורסים שרת proxy שמכיל את המדיניות הזו.

משתני תקלות

המשתנים האלה מוגדרים כשמתרחשת שגיאת זמן ריצה. מידע נוסף על שגיאות שקשורות למדיניות

דוגמה לתגובת שגיאה

לצורך טיפול בשגיאות, מומלץ ללכוד את החלק errorcode בתגובת השגיאה. אל תסתמכו על הטקסט ב-faultstring, כי הוא עשוי להשתנות.

דוגמה לכלל שגיאה

    <FaultRules>
        <FaultRule name="JWT Policy Errors">
            <Step>
                <Name>JavaScript-1</Name>
                <Condition>(fault.name Matches "InvalidToken")</Condition>
            </Step>
            <Condition>JWT.failed=true</Condition>
        </FaultRule>
    </FaultRules>