JWT のバックアップ(No.38)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• JWT へ行く。
  • 1 (2017-01-06 (金) 21:45:22)
  • 2 (2017-01-06 (金) 23:41:34)
  • 3 (2017-01-07 (土) 16:50:04)
  • 4 (2017-01-07 (土) 19:59:06)
  • 5 (2017-01-08 (日) 20:54:44)
  • 6 (2017-01-09 (月) 19:47:38)
  • 7 (2017-01-09 (月) 21:20:17)
  • 8 (2017-01-10 (火) 13:11:57)
  • 9 (2017-01-10 (火) 23:12:21)
  • 10 (2017-01-11 (水) 16:29:23)
  • 11 (2017-01-12 (木) 14:55:31)
  • 12 (2017-01-13 (金) 18:37:33)
  • 13 (2017-01-15 (日) 13:34:03)
  • 14 (2017-01-25 (水) 11:16:53)
  • 15 (2017-01-29 (日) 16:13:53)
  • 16 (2017-03-03 (金) 21:37:01)
  • 17 (2017-05-08 (月) 12:01:09)
  • 18 (2017-08-17 (木) 15:36:01)
  • 19 (2017-10-13 (金) 21:16:35)
  • 20 (2017-10-16 (月) 12:37:26)
  • 21 (2017-11-30 (木) 17:00:10)
  • 22 (2017-11-30 (木) 18:24:37)
  • 23 (2017-12-20 (水) 18:28:48)
  • 24 (2017-12-21 (木) 09:25:46)
  • 25 (2018-03-13 (火) 19:38:38)
  • 26 (2018-08-20 (月) 00:09:13)
  • 27 (2018-08-20 (月) 14:56:17)
  • 28 (2018-08-21 (火) 14:25:08)
  • 29 (2018-08-21 (火) 20:13:40)
  • 30 (2018-08-22 (水) 09:30:31)
  • 31 (2018-10-01 (月) 14:42:44)
  • 32 (2018-10-01 (月) 20:40:46)
  • 33 (2018-10-02 (火) 11:23:34)
  • 34 (2018-10-09 (火) 22:11:06)
  • 35 (2018-11-01 (木) 16:28:06)
  • 36 (2018-11-03 (土) 16:02:05)
  • 37 (2018-11-03 (土) 17:55:05)
  • 38 (2018-11-05 (月) 11:36:57)
  • 39 (2019-02-12 (火) 23:10:40)
  • 40 (2019-02-27 (水) 19:13:56)
  • 41 (2019-03-10 (日) 14:05:05)
  • 42 (2020-03-04 (水) 17:16:34)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • JSON
  • トークン
  • クレームベース認証

目次 †

概要 †

以下の内容で最終確認済み。
https://tools.ietf.org/html/rfc7519

JWT : JSON Web Tokenは、jot（ジョット）と発音する、
JOSE : JSON Object Signing and Encryptionのサブセット仕様。

仕様 †

• URL中で使用可能な（、url-safeな）、JSONのアサーションを生成するための仕様

• Base64 URL Encodeしたヘッダ、ペイロード（クレームセット）等を「.」で連結
  • このため、url-safeであり、Webでの取り扱いが楽。
  • 言語毎のライブラリも整っており、自作も相互運用も容易。

• JWTには、JWSやJWEがある（JWKは違う）。

用途 †

• 以下を主張する。
  • メッセージ認証コード（MAC）やデジタル署名で完全性保護されていること（JWS）
  • および/または暗号化されていること（JWE）

• 暗号化により、鍵でペイロード（クレームセット）の改ざんチェックが可能（＝信頼関係のセマンティクス）。
  この特徴のため、仲介者を伴う（改竄・盗聴の危険性がある）情報のやり取りに利用される。
  • 主に、認証サーバから返されるトークンに使われる。
  • 実際、OAuth 2.0 拡張やOpenID Connectなどで使われている。

構造 †

構成要素 †

以下の要素から構成される。

ここの詳細は、RFCを参照。

個別に、

• OpenID Connect の IDトークン（クレーム）
• JWT生成プログラムの作成方法の参考サイト

などを参照のこと。

ヘッダ †

• JOSE : JSON Object Signing and Encryptionヘッダ
  • 署名・検証のために利用するもの。
  • 電子署名、MAC に関する情報を保持する。

• ヘッダの内容は、3 種に分けられている。

• Registered Header
  • RFC 上で仕様化されているヘッダ内容。
  • 署名に使うアルゴリズムを示す alg
  • 公開鍵の在処を示す jku (JWK Set URL)

• Public Header
  定義可能だが名前の衝突を避けるために IANA に登録するヘッダ内容。

• Private Header
  衝突するかもしれないから注意が必要なヘッダ内容。

• ヘッダ・パラメタ
  • typ（オプション）を設定するなら、
    • "JWT"
    • "JOSE" : JWSやJWEのCompact Serialization
    • "JOSE+JSON" : JWSやJWEのJSON Serialization
    • "application/"接頭辞を省略したMedia Types

• cty（オプション）は、構造情報を伝えるために使用される。
  • "JWT" : ネストされたJWTのペイロード
  • "application/"接頭辞を省略したMedia Types
• ヘッダ・パラメタとして複製されたクレーム
  JWEのクレームの一部を復号化前に処理方法を決定する目的で使用する。

• ヘッダ・パラメタは、JWSとJWEで異なる。

• JWSの場合、alg, typなど。

  { "alg": "HS256", "typ": "JWT"}

• JWEの場合、alg, encなど。

  {"alg":"RSA-OAEP","enc":"A256GCM"}

ペイロード（クレームセット） †

• 予約済みクレーム
  以下すべて、使用は任意 (OPTIONAL)。

  #	キー	説明
  1	"iss"	Issuer クレーム
  2	"sub"	Subject クレーム
  3	"aud"	Audience クレーム
  4	"exp"	Expiration Time クレーム
  5	"nbf"	Not Before クレーム
  6	"iat"	Issued At クレーム
  7	"jti"	JWT ID クレーム
  8	"typ"	Type クレーム

• パブリック・クレーム
  • JWTの利用者によって自由に定義できる。
  • 衝突を避けるために、
    • IANA JSON Web Token Claim Registry に登録するか、
    • 耐衝突性を持つ名前空間を含むパブリック名にすべき。

• プライベート・クレーム
  • JWTの作成者と利用者の合意のものとで、
    予約済みでもパブリック・クレーム名でもないプライベート・クレーム名を利用可能。
  • ただし、衝突の可能性があるため、慎重に使用する必要がある。

• サンプル

  {
    "sub": "1234567890",
    "name": "John Doe",
    "admin": true
  }

その他 †

JWTの種類によって様々。

• JWS
  JWS署名

• JWE
  ・・・

JWTの種類 †

JWS †

JWE †

ネストされたJWT †

• ペイロード（若しくは平文）として、JWSやJWEが使用される。
• 署名と暗号化の両方が必要なネストされたJWTの署名と暗号化の順序は、
  プロデューサがメッセージに署名してから結果を暗号化する（従って、署名を暗号化する）。

無担保JWT †

• JWSでもJWEでもない、プレーンなJWT（無担保JWT）。
• ヘッダ内のalgはnone = {“alg”: “none”} 。

• フォーマット（JWS Compact Serialization）
  • ヘッダ.ペイロード（クレームセット）.

    BASE64URL (UTF-8 (Header))
    .
    BASE64URL (UTF-8 (Claim Set))
    .

JWTの作成と検証手順 †

JWTの作成手順 †

• JWSやJWEの手順に従って作成
• 入れ子になったJWTの場合にはヘッダの”cty”の値に”JWT”を指定

JWS †

JWE †

JWTの検証（復号）手順 †

JWSやJWEの手順に従って検証（復号）

JWS †

JWE †

JWTのアルゴリズム †

利用される各アルゴリズムおよびそれらの識別子を定義している仕様

JWS †

JWE †

ユースケース †

• http://openid-foundation-japan.github.io/draft-ietf-jose-use-cases-03.ja.html

• JSON Web Token の効用 - Qiita
  http://qiita.com/kaiinui/items/21ec7cc8a1130a1a103a

• JWTによるJSONに対する電子署名と、そのユースケース ｜ Developers.IO
  http://dev.classmethod.jp/server-side/json-signing-jws-jwt-usecase/

認証用途 †

• JWT(JSON Web Token)を使った認証を試みる | 69log
  https://blog.kazu69.net/2016/07/30/authenticate_with_json_web_token/
• JWTを認証用トークンに使う時に調べたこと - Carpe Diem
  http://christina04.hatenablog.com/entry/2016/06/07/123000
• JWT(Json Web Token)を利用したWebAPIでのCredentialの受け渡しについて | I am mitsuruog
  http://blog.mitsuruog.info/2014/08/jwtjson-web-tokenwebapicredential.html
• カスタム・アプリケーションによる認証フローとプログラミング - Build Insider
  http://www.buildinsider.net/web/msidentitydev/03

OpenID ConnectのIDトークン †

コチラを参照。

OAuth 2.0のアクセストークン †

コチラを参照。

シングルサインオン（SSO） †

• シングルサインオン - Wikipedia
  https://ja.wikipedia.org/wiki/%E3%82%B7%E3%83%B3%E3%82%B0%E3%83%AB%E3%82%B5%E3%82%A4%E3%83%B3%E3%82%AA%E3%83%B3

• 近年は、SAMLアサーションやJWTアサーション（OpenID ConnectのIDトークン）
  によって、クレデンシャル伝えてSSOを実現する方式が一般的になってきている。

• JWTを使った簡易SSOで徐々にシステムをリニューアルしている話
  http://www.slideshare.net/TsuchiKazu/jwt-ssopepabotech

• ショップ（Webアプリ）とカート（WebAPI＋SPA）を分離し、
  tempストアをサイト間で共有しないで、認証情報を共有するSSOを実現したい。

• JWTにより、以下を跨いだ認証が可能に。
  • サーバー（Webアプリ・WebAPI）間
  • クライアント（ブラウザ）・サーバー（Webアプリ・WebAPI）間

• また、その後の、

• マイクロサービス化にも対応可能になる。
  サービスの多様化、フロントエンドの多極化

• 認証情報以外の共有したい情報にも利用することができる。
  この場合、JWEを使用する可能性がある（HTTPSなら不要だが）。

• JWT(JSON Webトークン)を使用したシングルサインオンの設定 – Zendesk Support
  https://support.zendesk.com/hc/ja/articles/203663816-JWT-JSON-Web%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3-%E3%82%92%E4%BD%BF%E7%94%A8%E3%81%97%E3%81%9F%E3%82%B7%E3%83%B3%E3%82%B0%E3%83%AB%E3%82%B5%E3%82%A4%E3%83%B3%E3%82%AA%E3%83%B3%E3%81%AE%E8%A8%AD%E5%AE%9A

メール着信確認トークン †

以下でメール着信確認トークンを使用するようなケースで利用する事で、
トークンをtempストアに格納して、後に比較するような実装が不要になる。

• アカウント確認（E-mail confirmation）
• パスワード・リセット

共有用URL †

• OneDrive?のファイル・フォルダ共有にも利用されている。
• URLにオブジェクトに対するACL・ACE的なモノをJWTアサーションに同梱。
• サービスが認証したユーザがオブジェクトに対するアクセス許可を持っているか、ACL・ACEから確認する。

• JWT を扱えるライブラリは沢山ある。

• 署名・暗号化は特定用途であれば、１パターン実装すればイイので自作も可能。

• 検証・復号化は網羅性を高めることが難しいので、ライブラリを使用する。
  • OpenID Connect の JWT の署名を自力で検証してみると見えてきた公開鍵暗号の実装の話 - Qiita
    http://qiita.com/bobunderson/items/d48f89e2b3e6ad9f9c4c

ライブラリ †

様々なライブラリ（相互運用） †

• JSON Web Token の効用 - Qiita
  http://qiita.com/kaiinui/items/21ec7cc8a1130a1a103a

• WebCrypto? APIでJSON Web Tokenの検証を試してみる - Qiita
  http://qiita.com/tomoyukilabs/items/faa66805a440f4b30cfb

相性がある模様 †

System.IdentityModel.Tokens.JwtSecurityTokenHandler †

Microsoft Open Technologiesによって開発された、BCL入りしている
JSON Web Token Handler For the Microsoft .NETというライブラリ。

下記が参考になる。

• IdM実験室
  http://idmlab.eidentity.jp
  • [JWT/OAuth]Service Accountを使ってGoogle APIを利用する①, ②
    
    • http://idmlab.eidentity.jp/2015/01/jwtoauthservice-accountgoogle-api.html
    • http://idmlab.eidentity.jp/2015/01/jwtoauthservice-accountgoogle-api_5.html

上記は、Resource Ownerであるユーザが介在することなく
ClientがResource ServerのAPIを利用するようなユースケースらしく、
以下の様な、grant_typeで、Access Tokenを取得して、WebAPIにアクセスする。

• grant_type:
  http://oauth.net/grant_type/jwt/1.0/bearer
  • TenantContextID、AppPrincipalId?、SymmetricKey? を使用して、
  • JWTを投げると、Access Tokenが返ってくるflowのgrant_typeらしい。

この時、Googleの秘密鍵のキー長は1024bitだが、
このライブラリは最低でも2048bitを要求しているため、

相互運用が不可だったらしい
（ちなみにVisual Studioが生成するpfxのキー長も1024bitだったりする）。

恐らく、色々なライブラリ間の実装差異で相互運用が難しくなるようなケースがあると思う。
また、マニュアルもほとんどなく、恐らくJWEやJWKに対応していないものと思われる。

Microsoft.Owin.Security.Jwt.JwtFormat †

以下の2メソッドのインターフェイスを確認すると、
引数・戻り値に、Microsoft.Owin.Security.AuthenticationTicket?が在ったり、
.NET技術と結合度が高く、相互運用には向かないように見える。

• JwtFormat.Protect メソッド
• JwtFormat.Unprotect メソッド

検索結果 †

• NuGetやWebを検索した所、以下の3ライブラリの利用者が多い。

• 其々の評価
  • Azure AD公式と言う事もあり、ダウンロード数は、System.IdentityModel.Tokens.Jwtが優勢。
  • GitHubの★の数はJwt.Netが多いが、サポートしているアルゴリズムが少ない（素人向け）。
  • JWEなどのサポートを含み、Nimbus-JOSE-JWT等と互換性のある玄人向けのライブラリは、jose-jwt。

jose-jwt †

Jwt.Net †

• NuGet Gallery | JWT
  https://www.nuget.org/packages/JWT/

• jwt-dotnet/jwt https://github.com/jwt-dotnet/jwt

  Jwt.Net, a JWT (JSON Web Token) implementation for .NET

System.IdentityModel?.Tokens.Jwt †

上記の、BCL入りしているJwtSecurityTokenHandlerが含まれる名前空間より
一つ下の階層のJWT系の追加ライブラリを格納する名前空間であるもよう。
※ 名前空間的には、下の階層の方が、上位スタックになるんだなぁ。

必要に応じて、追加でNuGetから取得する必要がある。

• NuGet Gallery | System.IdentityModel?.Tokens.Jwt
  https://www.nuget.org/packages/System.IdentityModel.Tokens.Jwt/

• azure-activedirectory-identitymodel-extensions-for-dotnet
  /src/System.IdentityModel?.Tokens.Jwt at dev · AzureAD
  https://github.com/AzureAD/azure-activedirectory-identitymodel-extensions-for-dotnet/tree/dev/src/System.IdentityModel.Tokens.Jwt

自作のJWTライブラリ †

以下を考慮して開発可能。

用途 †

• 認証など、特定用途の署名・暗号化、検証・復号化レベルであればであれば自作ライブラリで良い。
• 正しく署名・暗号化できていれば、他のライブラリでも検証・復号化が可能。

相互運用（検証・復号化） †

他のライブラリでも検証・復号化が可能かどうかは、
JSON Web Tokens - jwt.ioなどの検証サイトを使用して確認すると良い。

Base64url Enc/Dec †

このライブラリも必要になる。

• 【C#】Base64urlエンコード・デコード - Qiita
  http://qiita.com/hukatama024e/items/b1352cabcd85948511c3

  RFC4648に条件付きでパディング外すなどの難しい処理が
  あるようなので、ライブラリを使用するほうが良いかもしれない
  （Microsoft.Owin.Securityのicrosoft.Owin.Security.DataHandler?.Encoderにライブラリがある）。

脆弱性 †

実装に脆弱性を作らないように注意する。

• JWS 実装時に作りがちな脆弱性パターン - OAuth.jp
  http://oauth.jp/blog/2015/03/16/common-jws-implementation-vulnerability/

ざっくり、

• alg を "none"に改竄された場合、検証でtrueにするな。
• alg を "HMAC-SHA*"に改竄された場合、検証でtrueにするな。

ということらしい。

後者は、

• 公開鍵暗号方式 (RSA / ECDSA) から共通鍵暗号方式 (HMAC) に差し替え、
• 「公開鍵文字列を共通鍵として利用して」署名を生成することで、

検証でtrueになるJWTを生成できてしまう模様。

特定用途の自作ライブラリであれば、
署名と検証のalgは固定にしておくのも良いと考える。

参考 †

• JWSの自作ライブラリ
• JWEの自作ライブラリ

参考 †

• JWT Translation #technight
  http://www.slideshare.net/matake/jwt-trans

• JWTについて簡単にまとめてみた - hiyosi's blog
  https://hiyosi.tumblr.com/post/70073770678/jwt%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6%E7%B0%A1%E5%8D%98%E3%81%AB%E3%81%BE%E3%81%A8%E3%82%81%E3%81%A6%E3%81%BF%E3%81%9F

• 以下の様な話もあるが、提案されているFernetは（今の所）メジャーではない。
  • JOSEは、絶対に避けるべき悪い標準規格である | POSTD
    https://postd.cc/jwt-json-web-tokens-is-bad-standard-that-everyone-should-avoid/

内部 †

JWS †

JWE †

JWK †

JWA †

RFC †

• IETF JOSE WG と OAuth WG から一気に9本の RFC が！ - OAuth.jp
  http://oauth.jp/blog/2015/05/20/jose-and-oauth-assertion-rfcs/

OAuth WG †

• RFC 7519 - JSON Web Token (JWT)
  https://tools.ietf.org/html/rfc7519

• RFC 7521, 7522, 7523

JOSE WG †

jose : Javascript Object Signing and Encryption

• JWS
• JWE
• JWK
• JWA

• RFC 7520 - Examples of Protecting Content
  Using JSON Object Signing and Encryption (JOSE)
  https://tools.ietf.org/html/rfc7520

OpenID ファウンデーション・ジャパン †

• JSON Web Token (JWT) 日本語訳
  https://openid-foundation-japan.github.io/draft-ietf-oauth-json-web-token-11.ja.html
• Use Cases and Requirements for JSON Object Signing and Encryption (JOSE)
  http://openid-foundation-japan.github.io/draft-ietf-jose-use-cases-03.ja.html

---

Tags: :IT国際標準, :認証基盤, :クレームベース認証, :暗号化

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.093 sec.