JWT Secured Authorization Response Mode for OAuth 2.0 (JARM) のバックアップ(No.7)

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
JWT Secured Authorization Response Mode for OAuth 2.0 (JARM) へ行く。

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

↑

概要 †

ドイツの金融業界の要望に対応するため、驚くほどのスピードで策定され、
駆け込みで FAPI Implementer's Draft 第二版と一緒に処理された。

FAPI Part 2 (Read and Write API Security Profile)では、分離トークン（s_hash）の代替手段だと書かれている。

認可レスポンスのパラメタ群が一つの JWT にまとめられ、response={JWT} という形式で返ってくる。

JWT形式で Authorization Response を返すための仕様

Response Mode を指定するための response_mode パラメタも拡張する

Client / Authorization Server それぞれの metadata も拡張する

↑

詳細 †

Authorization Response に JWT を使う方法が定義されている。
Response Type, Response Mode により、挙動とJWTの中身が違ってくる。
JWTのalgなどは仕様範囲外なので、よく考えて設計する必要がある。

↑

Discovery / Registration †

↑

Discovery †

response_modes_supportedパラメタで

response_mode
AuthZ metadata

をアドバタイズ

↑

Registration †

Client metadataを登録。

↑

Metadata †

↑

Client metadata †

Clientが、JWT の署名・暗号にどのアルゴリズムを使用して欲しいかを指定。

authorization_signed_response_alg
authorization_encrypted_response_alg
authorization_encrypted_response_enc

↑

AuthZ metadata †

AuthZがサポートするJWT の署名・暗号アルゴリズムを列挙。

authorization_signing_alg_values_supported
authorization_encryption_alg_values_supported
authorization_encryption_enc_values_supported

↑

response_mode †

↑

query.jwt †

HTTP/1.1 302 Found
Location: https://client.com/callback?response={JWT}

↑

fragment.jwt †

HTTP/1.1 302 Found
Location: https://client.example.com/cb#response={JWT}

↑

form_post.jwt †

HTTP/1.1 200 OK
Content-Type: text/html;charset=UTF-8
Cache-Control: no-cache, no-store
Pragma: no-cache
<html>
  <head><title>Submit This Form</title></head>
  <body onload="javascript:document.forms[0].submit()">
    <form method="post" action="https://client.example.com/cb">
     <input type="hidden" name="response" value="{JWT}"/>
    </form>
  </body>
</html>

↑

jwt †

ショートカット。以下の何れかを示す。

response_typeが、
- "code"の場合、query.jwt
- "token"の場合、fragment.jwt

↑

JWT †

上記の{JWT}には、以下のペイロードを署名してJWS化したものを入れる。

{
  "iss":"https://accounts.example.com",
  "aud":"s6BhdRkqt3",
  "exp":1311281970,
  "code":"PyyFaux2o7Q0YfXBU32jhw.5FXSQpvr8akv9CeRDSd0QA",
  "state":"S8NJ7uqk5fY4EjNvP_G_FtyJu6pUsvH9jsYni9dMAJw"
}

↑

参考 †

Draft-nn: Financial-grade API: JWT Secured Authorization Response Mode for OAuth 2.0 (JARM)
https://openid.net/specs/openid-financial-api-jarm.html

↑

インフル諸兄 †

↑

TakahikoKawasaki? †

OAuth 2.0 の認可レスポンスとリダイレクトに関する説明 - Qiita
JWT Secured Authorization Response Mode
https://qiita.com/TakahikoKawasaki/items/8567c80528da43c7e844#jwt-secured-authorization-response-mode

↑

ritou †

FAPI : JWT Secured Authorization Response Mode for OAuth 2.0 (JARM) とは - r-weblife
https://ritou.hatenablog.com/entry/2018/09/21/143349

↑

JWT Secured Authorization Response Mode for OAuth 2.0 (JARM) のバックアップ(No.7)

目次 †

概要 †

詳細 †

Discovery / Registration †

Discovery †

Registration †

Metadata †

Client metadata †

AuthZ metadata †

response_mode †

query.jwt †

fragment.jwt †

form_post.jwt †

jwt †

JWT †

参考 †

インフル諸兄 †

TakahikoKawasaki? †

ritou †

関連仕様 †

OAuth 2.0 Form Post Response Mode †

OAuth 2.0 Multiple Response Type Encoding Practices †

OpenID Connect - Discovery †

OpenID Connect - Dynamic Client Registration †