Patvirtinant JWTS „Azure Logic Apps“, gali atsirasti kelios bendros klaidos:
1. Pretenzijos neatitikimas: Vienas iš dažniausiai pasitaikančių klausimų yra teiginio neatitikimas, pavyzdžiui, „AUD“ (auditorija) teiginys, neatitinkantis numatomos vertės. Tai gali atsitikti, jei prieigos raktas yra skirtas kitai programai arba jei ieškinio vertės, nurodytos patvirtinimo politikoje, rašybos klaidos [1] [5].
2. Neteisinga „OpenID“ konfigūracija: Naudojant neteisingą „OpenID“ konfigūracijos URL, tai gali sukelti patvirtinimo gedimus. Įsitikinkite, kad URL nurodo teisingą „Azure“ skelbimų nuomininką ir versiją (pvz., V1.0 arba V2.0) [1] [5].
3. Testavimo žetono galiojimo laikas ir pasirašymas: Nors bandymo metu dažnai išjungta, gamybos aplinkoje turi būti pasirašyti ir nepasirašyti. Nepavykus patikrinti šių sąlygų, gali atsirasti saugumo pažeidžiamumas [2] [4].
4. Netinkami ar trūkstami raktai: Jei emitento pasirašymo raktai nėra tinkamai sukonfigūruoti ar gauti, žetono patvirtinimas nepavyks. Tai ypač aktualu, kai naudojami „Azure AD“ žetonai, kur raktai dinamiškai gaunami iš „Azure AD Discovery Endpoint“ [3] [4].
5. Algoritmo neatitikimas: Algoritmas, naudojamas pasirašyti JWT, turi atitikti tai, ko tikimasi patvirtinimo politika. Naudojant nepalaikomą algoritmą, galima sukelti patvirtinimo klaidas [4].
6. Ženklo formato problemos: JWT turi būti tinkamai suformatuoti ir užkoduoti. Bet kokios antraštės, naudingo krovinio ar parašo klaidos gali sugesti patvirtinimą [4] [6].
Norint pašalinti šias problemas, būtina patikrinti JWT prieigos raktą naudojant tokius įrankius kaip JWT.io ir patikrinti, ar visi teiginiai ir parametrai atitinka patvirtinimo politikoje nustatytus lūkesčius [5].
Citatos:
[1] https://stackoverflow.com/questions/57703697/jwt-validation-failure-error-in-azure-apim
[2] https://stackoverflow.com/questions/51039420/azure-api-management-jwt-validation-fails
[3] https://www.googlecloudcommunity.com/gc/apigee/validating-jwt-generated-from-azure-ad/m-p/72212
[4] https://www.criipto.com/blog/jwt-validation-guide
[5] https://techcommunity.microsoft.com/blog/azuredevcommunityblog/part-4-secure-your-gogic-app-using-api-Management-8211-Valiate-jwt-Acts-REST/336802
[6] https://www.ducktypelabs.com/5-mistakes-web-developers-Should-avoid-when-using-jwts-uthentication/
[7] https://docs.azure.cn/en-us/api-management/validate-jwt-policy
[8] https://learn.microsoft.com/en-us/azure/api-management/validate-jwtpolicy