OAuth 2.0 Token Binding のバックアップ(No.12) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る
- Token Binding
- FAPI Part 2 (Read and Write API Security Profile)

目次 †

目次
概要
- 目的
- 対象
詳細
- "Token Binding"とは、
経過
参考
- RFC

概要 †

OAUTB : OAuth 2.0 Token Binding
記名式切符（Proof-of-possession Token）の作成と使用。

目的 †

この仕様により、種々のtokenを以下の攻撃から保護できる。

中間者
tokenのエクスポート
再生攻撃

対象 †

以下のtokenに "Token Binding"を適用できる。

access_tokens
refresh_tokens
code(Authorization Codes)
JWT Authorization Grants
JWT Client Authentication

詳細 †

"Token Binding"とは、 †

上記のtokenをClient上の非対称キー・ペアにバインドする。

TLS Extension for Token Binding Protocol Negotiation †

[I-D.ietf-tokbind-negotiation]

The Token Binding Protocol Version 1.0 †

[I-D.ietf-tokbind-protocol]

Token Binding over HTTP †

[I-D.ietf-tokbind-https]

以下の用語が定義されている。
- "Provided"
- "Referred"
- "Token Binding"および "Token Binding ID"

経過 †

雲行きは怪しい。

執筆時点では...。 †

現在の開発プラットフォームとツールでは、比較的少数のサポートしかない。
（TLSスタックなどインフラレイヤの変更を伴い、アプリケーションレイヤだけで解決できない）

基礎となるコアのToken Binding仕様がよりよくサポートされるまで、
OAuth 2.0 Token Bindingの実用的な実装は実行不可能。

この代替として「Mutual TLS (MTLS)」がある。

関連RFC * 3 がリリース †

2018 年 10 月初旬に Token Binding 関連の
RFC 8471、8472、8473がリリースされた。

Chromeがサポートを中止 †

コミュニテイから強く要望されたにも関わらず
https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/OkdLUyYmY1E

Chrome は Token Binding サポート中止を決定
https://www.chromestatus.com/feature/5097603234529280

CDRで禁止 †

11.3. Holder of Key Mechanism – Consumer Data Right Security Profile
https://consumerdatastandardsaustralia.github.io/infosec/#11-3-holder-of-key-mechanism
OAUTB SHALL NOT be supported due to a lack industry support.

参考 †

Token Bindingについて - 株式会社レピダム
https://lepidum.co.jp/blog/2016-12-20/tokbind/

RFC †

draft-ietf-oauth-token-binding-xx - OAuth 2.0 Token Binding
https://tools.ietf.org/html/draft-ietf-oauth-token-binding

TLS Extension for Token Binding Protocol Negotiation †

https://tools.ietf.org/html/draft-ietf-oauth-token-binding-06#ref-I-D.ietf-tokbind-negotiation
- https://tools.ietf.org/html/draft-ietf-tokbind-negotiation-10

↓ ↓ ↓

RFC 8472 - Transport Layer Security (TLS) Extension for Token Binding Protocol Negotiation
https://tools.ietf.org/html/rfc8472

The Token Binding Protocol Version 1.0 †

https://tools.ietf.org/html/draft-ietf-oauth-token-binding-06#ref-I-D.ietf-tokbind-protocol
- https://tools.ietf.org/html/draft-ietf-tokbind-protocol-16

↓ ↓ ↓

RFC 8471 - The Token Binding Protocol Version 1.0
https://tools.ietf.org/html/rfc8471

Token Binding over HTTP †

https://tools.ietf.org/html/draft-ietf-oauth-token-binding-06#ref-I-D.ietf-tokbind-https
- https://tools.ietf.org/html/draft-ietf-tokbind-https-12

↓ ↓ ↓

RFC 8473 - Token Binding over HTTP
https://tools.ietf.org/html/rfc8473

Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth