SAP云平台API管理的JWT策略使您能够，验证和解码JWT令牌。在博客系列：使用SAP云平台API管理的JSON Web令牌（JWT）验证中，我们介绍了针对各种身份提供商（如SAP云平台XS UAA、Okta、Azure Active Directory）的JWT验证策略的建模和配置。在博客系列的这一部分中，我们介绍了为SAP云平台XS UAA配置JWT令牌验证策略的步骤。

第1部分：在SAP云平台API管理中建模JWT令牌验证流使用SAP云平台XS UAA构建、部署和认证的微服务

登录到您的SAP云平台Cloud Foundry环境。选择使用SAP云平台XS UAA保护的已部署微服务。从您的Cloud Foundry应用程序导航到服务绑定，为您的SAP云平台XS UAA服务选择服务绑定。单击"显示敏感数据"以查看您的客户id和机密。

复制选定的url字段，企业软件正版化，大数据时代，可根据此url字段生成所需的颁发者和JWKS\U url。

要获取您的JWKS URI和JWT颁发者，查询SAP云平台XS UAA的OpenID connect元数据URL，方法是将占位符{your\u XS\u UAA\u service\u binding\u URL\u value}替换为{your\u XS\u UAA\u service\u binding\u URL\u value}/.well-known/OpenID配置中上一步复制的URL字段值，并从浏览器调用它。从OpenID connect metadata URL响应中，复制issuer和jwks\u uri字段的值。

导航到您的SAP云平台API管理的API门户服务。

导航到"开发"选项卡并选择API代理，免费云服务器试用，以便您已建模JWT令牌验证策略。请参阅本博客系列的第1部分，为您的API代理建立JWT验证策略模型。

在"选定的API代理详细信息"视图中，淘客佣金，单击"策略"打开"策略设计器"。

在"策略设计器"上单击"编辑"，进入编辑模式。

选择"策略readJWKS"策略，并用的jws\ U uri元素替换URL元素您的OpenID connect元数据URL响应。

选择策略verifyJWT policy并用OpenID connect元数据URL响应的issuer元素替换URL元素。

选择Update以保留所有策略更改

单击Save以保留所有API代理更改。

对于此流的测试，之所以使用客户端凭证流，仅仅是因为从Postman这样的测试控制台测试它更容易。从您的Cloud Foundry应用程序导航到服务绑定，电子商务数据分析，为您的SAP云平台XS UAA服务选择服务绑定。单击"显示敏感数据"以查看您的客户端id和密码。

从服务绑定数据中复制clientid和clientsecret。

使用此OAuth客户端id和密码从SAP云平台XS UAA令牌颁发者端点获取访问令牌。详细信息见本文档。调用API代理端点，传入从SAP Cloud Platform XS UAA接收的OAuth访问权，该访问权位于HTTP头中，名为authorization，格式为Bearer{OAuth\u access\u token}。如果JWT令牌验证成功，将返回来自目标服务器的响应。

传递无效的访问令牌或空的访问令牌将导致HTTP状态代码设置为401的错误。