Obtener token de acceso OAuth2.0

Las API de D1 utilizan el flujo JWT bearer de OAuth 2.0 (RFC 7523).

Su backend emisor firma un JSON Web Token (JWT) y lo intercambia por un token de acceso D1.

Use el token de acceso D1 para llamar a las API de D1.

Vea los campos de solicitud y respuesta en la referencia de la API: Obtener token de autorización.

Usar el token de acceso D1

Todas las API de backend emisor a backend D1 requieren un token de acceso D1.

Envíelo en el Authorization encabezado usando el Bearer esquema:

Authorization: Bearer <Base64_Encoded_JWT>

El token de acceso D1 es válido por 15 minutos.

Reutilice el token hasta que expire.

No llame a /oauth2/token antes de cada llamada a la API de D1.

Aserción JWT

El /oauth2/token API espera una aserción JWT (RFC 7519).

Su backend emisor debe generar un JWT válido y firmarlo.

Usted puede:

Generar JWTs usando un proveedor de identidad (por ejemplo, Keycloak).
Generar JWTs en su backend emisor.

En ambos casos, proporcione la clave pública utilizada para la verificación de la firma en el backend de D1.

Si no utiliza un proveedor de identidad, genere el par de claves y los JWTs como se describe a continuación.

Algoritmos compatibles

Solo se admiten JWTs firmados con ES256 son compatibles (RFC 7518).

D1 utiliza criptografía asimétrica.

El backend de D1 almacena solo claves públicas.

Formato JWT

Un JWT consta de tres partes separadas por puntos (.):

Encabezado
Carga útil
Firma

Ejemplo: hhhhhhh.pppppppp.ssssssssss

Encabezado

El encabezado contiene el algoritmo y el tipo de token.

kid es obligatorio.

El backend de D1 lo utiliza para seleccionar la clave pública correcta.

Ejemplo de encabezado:

{
  "alg": "ES256",
  "typ": "JWT",
  "kid": "your_tenant_key_id"
}

Carga útil

La carga útil admite las siguientes claims:

Claim

Tipo

Requerido

Descripción

iss

cadena

Sí

Use el issuerId proporcionado durante el onboarding de D1. D1 lo usa para buscar la clave pública aprovisionada. Si utiliza un modelo de agregador, establezca esto en el aggregatorId.

sub

cadena

Sí

Use el issuerId. (En caso de agregador, este valor es igual al aggregatorId.)

exp

entero

Sí

Hora de expiración en segundos epoch UTC. El valor máximo es la hora actual + 15 minutos.

aud

cadena

URL base del servidor de autorización de D1. Use la URL para su entorno objetivo: Sandbox = https://api.d1-stg.thalescloud.io, Producción = https://api.d1.thalescloud.io.

D1 impone el período máximo de expiración. Si exp excede la ventana permitida, D1 rechaza la solicitud.

Ejemplo de carga útil:

{
  "iss": "your_issuer_id",
  "sub": "your_user_for_audit",
  "exp": 1545222654,
  "aud": "https://api.d1.thalescloud.io"
}

Firma

La firma se calcula sobre el encabezado y la carga útil codificados en Base64URL.

Las tres partes del JWT se unen usando puntos (.).

Generar el par de claves

Use OpenSSL para generar un par de claves P-256:

Genere una clave privada para el backend emisor.

Protéjala en su entorno.

openssl ecparam -name prime256v1 -genkey -noout -out issuerId-jwt-priv-key.pem

Genere una clave pública para aprovisionar en el backend de D1:

openssl ec -in issuerId-jwt-priv-key.pem -pubout > issuerId-jwt-pub-key.pem

El backend emisor usa la clave privada para firmar los JWTs.

El backend de D1 utiliza la clave pública (y su kid) para verificar las firmas JWT.

Comparta la clave pública y kid con el equipo de entrega de Thales durante el onboarding de D1.

Generar el JWT

Hay muchas formas de generar JWTs.

Este ejemplo usa la jose biblioteca de Node.js:

/*
Por favor instale la biblioteca *jose* en su proyecto.
https://www.npmjs.com/package/jose

Para este ejemplo usamos la 3.19.0
*/
const { SignJWT } = require("jose/jwt/sign");
const { createPrivateKey } = require("crypto");

const alg = "ES256";
const kid = "your_tenant_key_id";
const iss = "your_issuer_id";
const aud = "your_audience";
const expirationTime = "3mins";
const sub = "our_user_for_audit";

const privateKeyPem = `-----BEGIN EC PRIVATE KEY----- 
MHcCAQEEILlIXMnH1if8EuWykPmWw/LyXZuoNVCzMp3Yhbj9/sEUoAoGCCqGSM49 
AwEHoUQDQgAE6swczLIRn/lPxQPpdUb2pHjCr0YeC02lkG7vMmqCNpalwIQSl+TR 
fZVDwCKJmajRgK3+n5SyAgCp4oH8qNluwQ==
-----END EC PRIVATE KEY-----`;

async function generateJwt() {
  const privateKey = createPrivateKey(privateKeyPem);

  console.log(
    await new SignJWT({})
      .setProtectedHeader({ alg, kid })
      .setIssuedAt()
      .setIssuer(iss)
      .setAudience(aud)
      .setExpirationTime(expirationTime)
      .setSubject(sub)
      .sign(privateKey)
  );
}

(async () => {
  await generateJwt();
})();

Ejemplo de salida JWT:

eyJhbGciOiJFUzI1NiIsImtpZCI6InlvdXJfdGVuYW50X2tleV9pZCJ9.eyJpYXQiOjE2MzYwMzMxODYsImlzcyI6InlvdXJfaXNzdWVyX2lkIiwiYXVkIjoieW91cl9hdWRpZW5jZSIsImV4cCI6MTYzNjAzMzM2Niwic3ViIjoib3VyX3VzZXJfZm9yX2F1ZGl0In0.lgVzN8k9IGcv1s-FZACpEyVxXcS9LAh4ahY3DO5Fg6MRl-Twa_wVAfw_Oe0XiH1Am-RFfafgDrepNi3Jz05Gvg

AnteriorPolítica de cambios de la API SiguienteCifrar datos sensibles

Última actualización hace 4 meses

¿Te fue útil?