OpenID Connect - Requestオブジェクトのバックアップ(No.3)

 {
  "iss": "s6BhdRkqt3",
  "aud": "https://server.example.com",
  "response_type": "code id_token",
  "client_id": "s6BhdRkqt3",
  "redirect_uri": "https://client.example.org/cb",
  "scope": "openid",
  "state": "af0ifjsldkj",
  "nonce": "n-0S6_WzA2Mj",
  "max_age": 86400,
  "claims":
   {
    "userinfo":
     {
      "given_name": {"essential": true},
      "nickname": null,
      "email": {"essential": true},
      "email_verified": {"essential": true},
      "picture": null
     },
    "id_token":
     {
      "gender": null,
      "birthdate": {"essential": true},
      "acr": {"values": ["urn:mace:incommon:iap:silver"]}
     }
   }
 }

↑

送信方法 †

↑

requestパラメタ †

認可リクエストの例

https://server.example.com/authorize?
   response_type=code%20id_token
   &client_id=s6BhdRkqt3
   &scope=openid
   &state=af0ifjsldkj&nonce=n-0S6_WzA2Mj
   &request=Requestオブジェクト

↑

request_uriパラメタ †

512 ASCII 文字

Authorization Serverからのアクセスに限定する。
- ライフタイムに応じた適切なエントロピー、
- 若しくは、なんらかのアクセスコントロールの実施。

パラメタの例
```
https://client.example.org/request.jwt#GkurKxf5T0Y-mnPFCHqWOMiZi4VS138cQO_V7PZHAdM
```
※ URIフラグメントは、キャッシュに使用するペイロードのSHA-256ハッシュのBase64URL値

事前登録
- Discoveryで確認
- Registrationで登録

認可リクエストの例

https://server.example.com/authorize?
   response_type=code%20id_token
   &client_id=s6BhdRkqt3
   &scope=openid
   &state=af0ifjsldkj&nonce=n-0S6_WzA2Mj
   &request_uri=https%3A%2F%2Fclient.example.org%2Frequest.jwt%23GkurKxf5T0Y-mnPFCHqWOMiZi4VS138cQO_V7PZHAdM

Requestオブジェクトのリクエスト例

GET /request.jwt HTTP/1.1
 Host: client.example.org

↑

参考 †

↑

JWT bearer token authorizationグラント種別 †

亜種的仕様。

↑

JWT Secured Authorization Request (JAR) †

別途、仕様に書き起こしたもの（FAPI2でも使用するので）。

Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth

OpenID Connect - Requestオブジェクト のバックアップ(No.3)

目次 †

概要 †

詳細 †

サポート †

パラメタ †

フォーマットとコンテンツ †

概要 †

ペイロードの例 †

送信方法 †

requestパラメタ †

request_uriパラメタ †

参考 †

JWT bearer token authorizationグラント種別 †

JWT Secured Authorization Request (JAR) †

OpenID Connect - Requestオブジェクトのバックアップ(No.3)