JWTとOAuth2.0 のバックアップ(No.6) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
概要
JWTアサーションを使用
- 概要
- 参考
OpenID Connect
- 概要
- 参考
JWT Bearer Token Flow
OAuth2.0 Proof of Possession
- 概要
- 参考
  - その他

概要 †

JWTを使うOAuth 2.0についての纏め。
OAuth 2.0のセキュリティ上の解題を解決し認証での利用を可能にする。

JWTアサーションを使用 †

概要 †

ASP.NET IdentityのAccess Tokenはカスタマイズが可能。
そこで、Access TokenをJWTアサーションに変更する。

参考 †

詳しくは、コチラ?を参照。

OpenID Connect †

概要 †

OpenID Connectでは、Access TokenではなくID TokenにJWTを使用している。

参考 †

OpenID Connect

JWT Bearer Token Flow †

概要 †

GoogleやMicrosoft、SalesforceなどのWebAPI認証の方式として採用されているもよう。

事前に信頼関係を構築できるシステムからAPI接続する場合に有効な方法らしい。

具体的なフロー †

JWT作成のための証明書を生成 or 取得する。
証明書をClient側とResource Server側に登録する。
ClientでJWTを作成し、Resource Serverに送信してAccess Token(Bearer Token)を取得する。
Clientから、Access Token(Bearer Token)を使用してResource Serverにアクセスする。

参考 †

RFC 7523 - JSON Web Token (JWT) Profile for OAuth 2.0 Client Authentication and Authorization Grants
https://tools.ietf.org/html/rfc7523

OAuth2.0 Proof of Possession †

概要 †

Access TokenをJWTアサーションで発行する系のドラフト。
OAuth 2.0に近いOpenID Connectと比べると、いくぶんか複雑らしい。

参考 †

draft-ietf-oauth-pop-architecture-08
OAuth 2.0 Proof-of-Possession (PoP) Security Architecture
https://tools.ietf.org/html/draft-ietf-oauth-pop-architecture-08

その他 †

OAuth2.0 Proof of Possession についてまとめてみた - hiyosi's blog
https://hiyosi.tumblr.com/post/121441878998/oauth20-proof-of-possession-%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6%E3%81%BE%E3%81%A8%E3%82%81%E3%81%A6%E3%81%BF%E3%81%9F
RFC7636として発行されたOAuth PKCEとは - r-weblife
http://d.hatena.ne.jp/ritou/20151018/1445181974

Tags: :認証基盤, :ASP.NET Identity, :OAuth