JWT Secured Authorization Response Mode for OAuth 2.0 (JARM) のバックアップ(No.8)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• JWT Secured Authorization Response Mode for OAuth 2.0 (JARM) へ行く。
  • 1 (2018-10-10 (水) 18:06:36)
  • 2 (2018-10-10 (水) 18:22:09)
  • 3 (2018-10-11 (木) 11:32:28)
  • 4 (2018-10-27 (土) 20:00:03)
  • 5 (2018-10-28 (日) 17:30:11)
  • 6 (2019-01-23 (水) 10:02:40)
  • 7 (2019-03-29 (金) 17:56:00)
  • 8 (2019-04-22 (月) 10:08:49)
  • 9 (2019-06-13 (木) 14:45:11)
  • 10 (2019-06-24 (月) 10:13:24)
  • 11 (2019-06-24 (月) 14:25:27)
  • 12 (2019-06-25 (火) 09:14:46)
  • 13 (2019-06-25 (火) 18:45:24)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

• ドイツの金融業界の要望に対応するため、驚くほどのスピードで策定され、
  駆け込みで FAPI Implementer's Draft 第二版と一緒に処理された。

• FAPI Part 2 (Read and Write API Security Profile)では、分離トークン（s_hash）の代替手段だと書かれている。

• 認可レスポンスのパラメタ群が一つの JWT にまとめられ、response={JWT} という形式で返ってくる。

• JWT形式で Authorization Response を返すための仕様

• Response Mode を指定するための response_mode パラメタも拡張する

• Client / Authorization Server それぞれの metadata も拡張する

※ よくよく見ると、JWT Secured Authorization Request (JAR)（リクエスト）のレスポンス版である。

詳細 †

• Authorization Response に JWT を使う方法が定義されている。
• Response Type, Response Mode により、挙動とJWTの中身が違ってくる。
• JWTのalgなどは仕様範囲外なので、よく考えて設計する必要がある。

Discovery / Registration †

Discovery †

response_modes_supportedパラメタで

• response_mode
• AuthZ metadata

をアドバタイズ

Registration †

Client metadataを登録。

Metadata †

Client metadata †

Clientが、JWT の署名・暗号にどのアルゴリズムを使用して欲しいかを指定。

• authorization_signed_response_alg
• authorization_encrypted_response_alg
• authorization_encrypted_response_enc

AuthZ metadata †

AuthZがサポートするJWT の署名・暗号アルゴリズムを列挙。

• authorization_signing_alg_values_supported
• authorization_encryption_alg_values_supported
• authorization_encryption_enc_values_supported

response_mode †

query.jwt †

HTTP/1.1 302 Found
Location: https://client.com/callback?response={JWT}

fragment.jwt †

HTTP/1.1 302 Found
Location: https://client.example.com/cb#response={JWT}

form_post.jwt †

HTTP/1.1 200 OK
Content-Type: text/html;charset=UTF-8
Cache-Control: no-cache, no-store
Pragma: no-cache
<html>
  <head><title>Submit This Form</title></head>
  <body onload="javascript:document.forms[0].submit()">
    <form method="post" action="https://client.example.com/cb">
     <input type="hidden" name="response" value="{JWT}"/>
    </form>
  </body>
</html>

jwt †

• ショートカット。以下の何れかを示す。

• response_typeが、
  • "code"の場合、query.jwt
  • "token"の場合、fragment.jwt

JWT †

上記の{JWT}には、以下のペイロードを署名してJWS化したものを入れる。

{
  "iss":"https://accounts.example.com",
  "aud":"s6BhdRkqt3",
  "exp":1311281970,
  "code":"PyyFaux2o7Q0YfXBU32jhw.5FXSQpvr8akv9CeRDSd0QA",
  "state":"S8NJ7uqk5fY4EjNvP_G_FtyJu6pUsvH9jsYni9dMAJw"
}

参考 †

• Draft-nn: Financial-grade API: JWT Secured Authorization Response Mode for OAuth 2.0 (JARM)
  https://openid.net/specs/openid-financial-api-jarm.html

インフル諸兄 †

TakahikoKawasaki? †

• OAuth 2.0 の認可レスポンスとリダイレクトに関する説明 - Qiita
  JWT Secured Authorization Response Mode
  https://qiita.com/TakahikoKawasaki/items/8567c80528da43c7e844#jwt-secured-authorization-response-mode

ritou †

• FAPI : JWT Secured Authorization Response Mode for OAuth 2.0 (JARM) とは - r-weblife
  https://ritou.hatenablog.com/entry/2018/09/21/143349

関連仕様 †

OAuth 2.0 Form Post Response Mode †

OAuth 2.0 Multiple Response Type Encoding Practices †

OpenID Connect - Discovery †

OpenID Connect - Dynamic Client Registration †

---

Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.029 sec.