「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
詳細 †
Bearer TokenのJWT化 †
概要 †
- OAuth 2.0ではAccess Tokenまで仕様化されていないのでJWTアサーションを利用可能。
- Access Tokenとして、JWTアサーションを使用すれば、
改竄、置換、CSRF(XSRF)などを検出できるようになるため、
Implicitグラント種別でもより安全に利用できるようになる。
- ClientやResource Serverでtokenの署名検証が可能になる。
- また、発行者のAuthZ Server(iss:issuer)と
発行対象のClient(aud:audience=クライアント識別子)を特定できる。
- これにより、トークン置き換え攻撃も防ぐことができる。
- ポイントは、このAccess Tokenは、ASP.NET Identityなどの
特定テクノロジを使用したResource Serverでなくても利用可能であるという点。
この方式は、AzureADのOAuthでも利用されている模様。
参考 †
クライアント認証 †
- Client Credentialsグラント種別の代替フロー
- 強化されたクライアント認証を使用してaccess_tokenを取得する。
認可リクエスト・レスポンス署名 †
- 認可リクエストのパラメタをJWTで送信する機能。
- これにより、許可要求の機密性、完全性が達成される。
- 認可レスポンスをJWTで送信する機能。
- これにより、許可応答の機密性、完全性が達成される。
認可リクエストの高度化 †
前述のJAR
- ファジーなJARの、一、ユースケース。
- FAPI Part 2で、実質的にPARが使用されている。
- ≒上記のユースケースが仕様化されたもの。
OAuth 2.0 Rich Authorization Requests (RAR) †
複雑な JSON 構造を持つ authorization_details リクエストパラメタを追加。
claims リクエストパラメタ値に、複雑な JSON 構造を持つ verified_claims を挿入。
Tags: :IT国際標準, :認証基盤, :ASP.NET Identity, :OAuth