Pré-requisitos para Autenticação de Token

Execute essas tarefas antes de ativar a autenticação e a autorização para implantações de API usando JWTs (JSON Web Tokens).

Um provedor de identidades compatível com OAuth2 (por exemplo, OCI IAM com Domínios de Identidades, Oracle Identity Cloud Service (IDCS), Auth0) já deve ter sido configurado para emitir JWTs para usuários com permissão para acessar a implantação de API.
Se você quiser usar reivindicações personalizadas em políticas de autorização, o provedor de identidades deverá ser configurado para adicionar as reivindicações personalizadas aos JWTs emitidos por ele.

Para validar um JWT usando uma chave pública de verificação correspondente fornecida pelo provedor de identidades emissor:

o algoritmo de assinatura usado para gerar a assinatura do JWT deve ser um dos seguintes: RS256, RS384 ou RS512
a chave de verificação pública deve ter um tamanho mínimo de 2048 bits e não deve exceder 4096 bits

Para validar tokens usando o ponto final de introspecção de um servidor de autorização:

Você já deve ter criado e registrado um aplicativo cliente com o servidor de autorização para obter credenciais de cliente (um ID de cliente e um segredo de cliente). See the authorization server documentation for more information (for example, the OCI IAM with Identity Domains documentation, the Oracle Identity Cloud Service (IDCS) documentation, the Auth0 documentation).
Você já deve ter armazenado o segredo do cliente obtido no servidor de autorização como segredo em um vault no serviço Vault (consulte Criando um Segredo em um Vault), e deve saber o OCID e o número da versão do segredo.
Você já deve ter configurado uma política para conceder aos gateways de API em um grupo dinâmico permissão para acessar o segredo do vault que contém o segredo do cliente (consulte Criar uma Política para Conceder aos Gateways de API Acesso às Credenciais Armazenadas como Segredos no Serviço Vault).