「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
Bearer TokenにJWTアサーションを使用 †
- OAuth 2.0ではAccess Tokenまで仕様化されていないのでJWTアサーションを利用可能。
- Access Tokenとして、JWTアサーションを使用すれば、
改竄、置換、CSRF(XSRF)などを検出できるようになるため、
Implicitグラント種別でもより安全に利用できるようになる。
- ClientやResource Serverでtokenの署名検証が可能になる。
- また、発行者のAuthZ Server(iss:issuer)と
発行対象のClient(aud:audience=クライアント識別子)を特定できる。
- これにより、トークン置き換え攻撃も防ぐことができる。
- ポイントは、このAccess Tokenは、ASP.NET Identityなどの
特定テクノロジを使用したResource Serverでなくても利用可能であるという点。
この方式は、AzureADのOAuthでも利用されている模様。
参考 †
OAuth2.0拡張 †
OAuth2.0 Proof of Possession †
概要 †
- Access TokenをJWTアサーションで発行する系のドラフト。
- これにより、意図しないクライアントからのリソースに対するリクエストを拒否するするこができる。
参考 †
Tags: :認証基盤, :ASP.NET Identity, :OAuth