マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

  • JWTを使うOAuth 2.0についての纏め。
  • OAuth 2.0のセキュリティ上の解題を解決し認証での利用を可能にする。

詳細

Bearer TokenのJWT

  • OAuth 2.0ではAccess Tokenまで仕様化されていないのでJWTアサーションを利用可能。
  • Access Tokenとして、JWTアサーションを使用すれば、
    改竄、置換、CSRF(XSRF)などを検出できるようになるため、
    Implicitグラント種別でもより安全に利用できるようになる。
  • ClientやResource Serverでtokenの署名検証が可能になる。
  • また、発行者のAuthZ Server(iss:issuer)と
    発行対象のClient(aud:audience=クライアント識別子)を特定できる。
  • これにより、トークン置き換え攻撃も防ぐことができる。
  • ポイントは、このAccess Tokenは、ASP.NET Identityなどの
    特定テクノロジを使用したResource Serverでなくても利用可能であるという点。

ASP.NET Identity

  • Access Tokenのカスタマイズが可能。
  • ただし、(基本的には)Access Tokenのみがカスタマイズの対象なので、
    OpenID Connectに対応させることはできない(IDトークンの追加はできない)。

Azure Active Directory

この方式は、AzureADのOAuthでも利用されている模様。

参考

クライアント認証

JWT bearer token authorizationグラント種別

  • Client Credentialsグラント種別の代替フロー
  • 強化されたクライアント認証を使用してaccess_tokenを取得する。

JWT Secured Authorization Request (JAR)

  • 認可リクエストのパラメタをJWTで送信する機能。
  • これにより、許可要求の機密性、完全性が達成される。

OpenID Connect


Tags: :IT国際標準, :認証基盤, :ASP.NET Identity, :OAuth


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-11-10 (土) 22:41:31 (36d)