マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

Finalを参照して記述。

詳細

クレームセット

必須クレーム群

ケースバイケースなクレーム群

オプションのクレーム群

Hashクレーム

トークン置換攻撃を検知可能。

ユーザー属性クレーム群

その他、ユーザー属性クレーム群を格納する。

外部クレーム

Idp(OP)は、扱うクレームの内容によって、

どちらを利用すべきかを判断する必要がある。

集約クレーム(Aggregated Claims)

一定期間変更されないことが保証されており
キャッシュの効果があるものは集約クレーム。

分散クレーム(Distributed Claims)

クレームそのものではなく、問い合わせ先のURLを扱う。

をレスポンスに含む。

頻繁に更新されるものは分散クレーム。

検証処理

Clientは、IDトークンを検証する。

基本的な検証処理

フロー毎の差異

Google

GoogleでOpenID Connectの認証で取得したクレームセット。
(id_tokenそのものなのか?、ユーザー情報エンドポイントから取得したクレームか?)

{
  "iss":"accounts.google.com",
  "at_hash":"・・・", ← Implicit or Hybrid Flowの追加クレーム
  "email_verified":"true",
  "sub":"ユーザーの一意識別子",
  "azp":"認可された対象者のID.apps.googleusercontent.com",
  "email":"・・・・",
  "aud":"クライアント識別子.apps.googleusercontent.com",
  "iat":JWT の発行日時(Unix時間),
  "exp":JWT の有効期限(Unix時間)
}

ココを見ると、これは恐らく、id_tokenなのだろうなと。

以下のGoogle公式のマニュアルにも記載があった。

参考


Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth


トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS