Token Binding のバックアップ(No.6) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
Token Binding へ行く。
- 1 (2018-11-10 (土) 22:32:42)
- 2 (2018-11-22 (木) 09:22:57)
- 3 (2019-02-05 (火) 21:09:54)
- 4 (2019-03-01 (金) 09:48:30)
- 5 (2019-04-19 (金) 10:48:39)
- 6 (2026-06-04 (木) 14:42:32)
- 7 (2026-06-04 (木) 15:50:35)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る
- OAuth 2.0 拡張（OAuth2.0 Proof of Possession）
  Financial API (FAPI)（FAPI1、FAPI2）、OAuth 2.1
- UserAgentでOAuth2のTokenを取得するベスト・プラクティス
  - OAuth2.0 mTLS（最初の派生）
  - Token Binding（廃止の傾向）
  - OAuth2.0 DPoP

目次 †

目次
概要
詳細
参考
- OAuth 2.0 Token Binding
- 関連RFC

概要 †

Token Binding（コア仕様）とはTLSセッションから派生した鍵にトークンを紐付ける仕組み。

詳細 †

仕組み †

TLSハンドシェイク時にクライアントが鍵ペアを生成
TLSセッション固有の「Token Binding ID」を導出
すべてのトークン（Cookie, OAuth token等）をこの ID に束縛

3本柱 †

2018 年 10 月初旬に Token Binding 関連RFC * 3 のRFC 8471、8472、8473がリリースされた。

RFC 8471 Token Binding Protocol本体（鍵導出・証明の方法）
RFC 8472 TLS拡張（TLSハンドシェイクへの組み込み方）
RFC 8473 HTTP上での運搬方法（Sec-Token-Binding ヘッダー）

なぜ廃止されたか †

ドラフトの作成段階では、比較的少数のサポートしかなかった。
（TLSスタックなどインフラレイヤの変更を伴い、アプリケーションレイヤだけで解決できない）。

Chromeがサポートを中止 †

2022年 Chromeが実装を撤回、他のブラウザも追随せず

コミュニテイから強く要望されたにも関わらず
https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/OkdLUyYmY1E

Chrome は Token Binding サポート中止を決定
https://www.chromestatus.com/feature/5097603234529280

CDRでは利用禁止に...。 †

11.3. Holder of Key Mechanism – Consumer Data Right Security Profile
https://consumerdatastandardsaustralia.github.io/infosec/#11-3-holder-of-key-mechanism
OAUTB SHALL NOT be supported due to a lack industry support.

†

IETFのToken Binding WGがクローズ、仕様ごと事実上廃止

参考 †

OAuth 2.0 Token Binding †

関連RFC †

TLS Extension for Token Binding Protocol Negotiation †

https://tools.ietf.org/html/draft-ietf-oauth-token-binding-06#ref-I-D.ietf-tokbind-negotiation
- https://tools.ietf.org/html/draft-ietf-tokbind-negotiation-10

↓ ↓ ↓

RFC 8472 - Transport Layer Security (TLS) Extension for Token Binding Protocol Negotiation
https://tools.ietf.org/html/rfc8472

The Token Binding Protocol Version 1.0 †

https://tools.ietf.org/html/draft-ietf-oauth-token-binding-06#ref-I-D.ietf-tokbind-protocol
- https://tools.ietf.org/html/draft-ietf-tokbind-protocol-16

↓ ↓ ↓

RFC 8471 - The Token Binding Protocol Version 1.0
https://tools.ietf.org/html/rfc8471

Token Binding over HTTP †

https://tools.ietf.org/html/draft-ietf-oauth-token-binding-06#ref-I-D.ietf-tokbind-https
- https://tools.ietf.org/html/draft-ietf-tokbind-https-12

↓ ↓ ↓

RFC 8473 - Token Binding over HTTP
https://tools.ietf.org/html/rfc8473

Tags: :IT国際標準, :認証基盤, :ASP.NET Identity, :OAuth