「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
目的 †
この仕様により、種々のtokenを以下の攻撃から保護できる。
対象 †
以下のtokenに "Token Binding"を適用できる。
- access_tokens
- refresh_tokens
- code(Authorization Codes)
- JWT Authorization Grants
- JWT Client Authentication
執筆時点では...。 †
- 現在の開発プラットフォームとツールでは、比較的少数のサポートしかない。
(TLSスタックなどインフラレイヤの変更を伴い、アプリケーションレイヤだけで解決できない)
- 基礎となるコアのToken Binding仕様がよりよくサポートされるまで、
OAuth 2.0 Token Bindingの実用的な実装は実行不可能。
"Token Binding"とは、 †
上記のtokenをClient上の非対称キー・ペアにバインドする。
TLS Extension for Token Binding Protocol Negotiation †
- [I-D.ietf-tokbind-negotiation]
The Token Binding Protocol Version 1.0 †
- [I-D.ietf-tokbind-protocol]
Token Binding over HTTP †
- 以下の用語が定義されている。
- "Provided"
- "Referred"
- "Token Binding"および "Token Binding ID"
参考 †
TLS Extension for Token Binding Protocol Negotiation †
The Token Binding Protocol Version 1.0 †
Token Binding over HTTP †
New RFCs for Token Binding †
Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth