Manuel Token Üretimi ve Validasyonu
Bu yöntem, gateway akışı içinde JOSE Uygulama Politikası ile token üretmenizi ve JOSE Doğrulama Politikası ile doğrulamanızı sağlar. Standart Token Alma Yöntemleri sabit uç noktalara ve grant tiplerine dayanırken, bu yöntem tam dinamik claim içeriği ve anahtar kontrolü sunar.
Ne Zaman Kullanılır?
Standart token servisi, API tüketicilerine token dağıtmak için sabit bir akış sunar. Manuel üretim ise token içeriğini ve güvenlik katmanlarını isteğe göre şekillendirmeniz gereken durumlar içindir.
| Konu | Token Servisi (Standart) | Manuel Üretim (JOSE) |
|---|---|---|
| Token alma | Sabit uç noktalar ve grant tipleri | Gateway akışında politika ile, koşullu tetiklenebilir |
| Claim içeriği | Önceden tanımlı alanlar | Tam dinamik; değişkenlerle istediğiniz alanlar |
| Güvenlik katmanı | İmzalı token | İmza ve/veya şifreleme, birlikte uygulanabilir |
| Anahtar | Ortam veya kimlik bilgisi anahtarı | Gömülü veya istemciye özel dinamik anahtar |
| Tipik kullanım | Tüketiciye token dağıtmak | Backend'e veya dış servise özel imzalı/şifreli token taşımak |
Token Üretimi
JOSE Uygulama Politikası ile istek veya yanıt verisinden token üretirsiniz.
JOSE Uygulama Politikası yapılandırma ekranı aşağıdadır:
- Dinamik claim'ler: İçeren (issuer), hedef kitle (audience), konu (subject), son kullanma, kimlik (jti) ve düzenlenme zamanı gibi standart alanları tek tek açıp kapatabilir; ek alanları değişkenlerle (örneğin istekten gelen değerlerle) doldurabilirsiniz. Böylece her istek için farklı içerikte token üretilir.
- İmzalama: RSA, EC veya HMAC algoritmalarıyla token imzalanır.
- Şifreleme: İsteğe bağlı olarak token şifrelenir. İmza ve şifreleme aynı istekte birlikte uygulanarak imzalı-sonra-şifreli (iç içe) bir token üretilebilir; böylece bütünlük ve gizlilik eşzamanlı sağlanır.
- Anahtar kaynağı: Anahtar Gömülü (Secret Manager'daki JWK) veya Dinamik HTTP (çalışma anında uzaktan anahtar çekme) olabilir. Dinamik modda önbellek anahtarını bir değişkene bağlayarak her istemci için farklı bir anahtar kullanabilirsiniz — örneğin her istemcinin açık anahtarını kendi JWKS adresinden çekerek.
- Hedef: Üretilen token mesaj gövdesine yazılabilir veya bir değişkene atanarak sonraki politikalara aktarılabilir.
Ayrıntılı yapılandırma adımları için JOSE Uygulama Politikası sayfasına bakabilirsiniz.
Token Validasyonu
JOSE Doğrulama Politikası ile gelen token'ı doğrularsınız.
JOSE Doğrulama Politikası yapılandırma ekranı aşağıdadır:
- İmza doğrulama ve çözme: Token'ın imzası doğrulanır; şifreliyse çözülür.
- Claim kontrolleri: Kabul edilen hedef kitle listesi, zorunlu ve yasaklı alanlar, tam eşleşme kontrolleri ile son kullanma, geçerlilik başlangıcı ve düzenlenme zamanı doğrulaması (saat farkı toleransı ile) yapılır.
- Kimlik çıkarımı: Token içindeki bir alandan (örneğin içeren bilgisinden) istemci kimliği belirlenir ve ACL üzerinden yetki kontrolü yapılabilir.
- Anahtar kaynağı: Üretimde olduğu gibi Gömülü veya Dinamik HTTP — istemcinin açık anahtarını çalışma anında JWKS adresinden çekerek doğrulama yapabilirsiniz.
Ayrıntılı yapılandırma adımları için JOSE Doğrulama Politikası sayfasına bakabilirsiniz.
Tipik Senaryolar
- İstemciye özel şifreli token: Her istemcinin kendi açık anahtarıyla şifrelenmiş bir token üretip yalnızca o istemcinin çözebilmesini sağlamak.
- Dış servise imzalı token: Backend'e veya dış bir API'ye, Apinizer tarafından imzalanmış ve dinamik alanlar taşıyan bir token iletmek.
- Açık Bankacılık ve yerel düzenleme uyumu: Düzenlenme zamanı ofseti ve zorunlu alan setleriyle yerel düzenlemelere uygun token üretmek ve doğrulamak.