JWTとOAuth2.0 のバックアップ(No.8)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• JWTとOAuth2.0 へ行く。
  • 1 (2017-04-05 (水) 09:22:36)
  • 2 (2017-04-05 (水) 12:09:59)
  • 3 (2017-04-05 (水) 12:58:42)
  • 4 (2017-05-07 (日) 18:19:19)
  • 5 (2017-05-08 (月) 11:58:13)
  • 6 (2017-05-26 (金) 12:16:35)
  • 7 (2017-09-12 (火) 16:51:53)
  • 8 (2017-11-17 (金) 16:56:00)
  • 9 (2017-11-20 (月) 16:47:29)
  • 10 (2017-11-24 (金) 19:01:05)
  • 11 (2017-11-30 (木) 14:27:31)
  • 12 (2017-12-18 (月) 16:03:50)
  • 13 (2017-12-19 (火) 10:33:50)
  • 14 (2017-12-20 (水) 13:21:48)
  • 15 (2018-02-04 (日) 14:08:35)
  • 16 (2018-03-06 (火) 13:46:04)
  • 17 (2018-03-07 (水) 09:51:20)
  • 18 (2018-03-23 (金) 12:03:52)
  • 19 (2018-03-23 (金) 18:09:22)
  • 20 (2018-09-25 (火) 20:15:41)
  • 21 (2018-10-09 (火) 22:10:40)
  • 22 (2018-11-10 (土) 22:41:31)
  • 23 (2019-06-24 (月) 12:49:57)
  • 24 (2020-02-23 (日) 19:14:28)
  • 25 (2020-02-24 (月) 12:04:58)
  • 26 (2020-03-10 (火) 17:26:52)
  • 27 (2020-08-31 (月) 19:32:29)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

• JWTを使うOAuth 2.0についての纏め。
• OAuth 2.0のセキュリティ上の解題を解決し認証での利用を可能にする。

Bearer TokenにJWTアサーションを使用 †

• OAuth 2.0ではAccess Tokenまで仕様化されていないのでJWTアサーションを利用可能。

• Access Tokenとして、JWTアサーションを使用すれば、
  改竄、置換、CSRF（XSRF）などを検出できるようになるため、
  Implicitグラント種別でもより安全に利用できるようになる。

• これは、OAuth 2.0の仕様には無いのでOpenID Connectの仕様を参考に独自に実装する必要がある。

• OpenID ConnectのIDトークンに同梱されるクレームを
  同梱させれば、ほぼ安全になり、認証用途にも利用できるようになる。

• ClientやResource Serverでtokenの署名検証が可能になる。

• また、発行者のAuthZ Server（iss:issuer）と
  発行対象のClient（aud:audience＝クライアント識別子）を特定できる。

• これにより、トークン置き換え攻撃も防ぐことができる。

• ポイントは、このAccess Tokenは、ASP.NET Identityなどの
  特定テクノロジに準拠したのResource Serverでなくても利用可能であるという点。

ASP.NET Identity †

• Access Tokenのカスタマイズが可能。
• ただし、（基本的には）Access Tokenのみがカスタマイズの対象なので、
  OpenID Connectに対応させることはできない（IDトークンの追加はできない）。

• 参考
  • JSON Web Token in ASP.NET Web API 2 using Owin - Bit of Technology
    http://bitoftech.net/2014/10/27/json-web-token-asp-net-web-api-2-jwt-owin-authorization-server/

Azure Active Directory †

この方式は、AzureADのOAuthでも利用されている模様。

参考 †

• OAuth 2.0のAccess TokenへのJSON Web Token(JSON Web Signature)の適用 - r-weblife
  http://d.hatena.ne.jp/ritou/20140927/1411811648

• モバイルアプリのユーザ認証方法についてまとめてみた - Qiita
  http://qiita.com/ledmonster/items/0ee1e757af231aa927b1
  • 10 Things You Should Know about Tokens
    9. JSON Web Tokens can be used in OAuth: Bearer Token
    https://auth0.com/blog/ten-things-you-should-know-about-tokens-and-cookies/#token-oauth

JWT Bearer Token Flow †

概要 †

• GoogleやMicrosoft、SalesforceなどのWebAPI認証の方式として採用されているもよう。

• 事前に信頼関係を構築できるシステムからAPI接続する場合に有効な方法らしい。

具体的なフロー †

• JWT作成のための証明書を生成 or 取得する。
• 証明書をClient側（秘密鍵）とResource Server側（公開鍵）に登録する。
• ClientでJWTを署名作成し、Resource Serverに送信して、
• Resource ServerでJWTを検証し、Access Token(Bearer Token)を取得する。
• Clientから、Access Token(Bearer Token)を使用してResource Serverにアクセスする。

参考 †

• RFC 7523 - JSON Web Token (JWT) Profile for OAuth 2.0 Client Authentication and Authorization Grants
  https://tools.ietf.org/html/rfc7523

OAuth2.0 Proof of Possession †

概要 †

• Access TokenをJWTアサーションで発行する系のドラフト。

• 誰が（どの認可サーバが）誰に（どのクライアントに対して）発行した Access Token なのかを確認する。

• これにより、意図しないクライアントからのリソースに対するリクエストを拒否するするこができる。

• 基本的にはJWTの検証という話であるが、OAuth 2.0に近い、
  OpenID ConnectのIDトークンの検証と比べると、いくぶんか複雑らしい。

参考 †

• draft-ietf-oauth-pop-architecture-08
  OAuth 2.0 Proof-of-Possession (PoP) Security Architecture
  https://tools.ietf.org/html/draft-ietf-oauth-pop-architecture-08

その他 †

• OAuth2.0  Proof of Possession についてまとめてみた - hiyosi's blog
  https://hiyosi.tumblr.com/post/121441878998/oauth20-proof-of-possession-%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6%E3%81%BE%E3%81%A8%E3%82%81%E3%81%A6%E3%81%BF%E3%81%9F

OpenID Connect †

概要 †

OpenID Connectでは、Access TokenではなくID TokenにJWTを使用している。

参考 †

• OpenID Connect

---

Tags: :認証基盤, :ASP.NET Identity, :OAuth

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.025 sec.