「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -戻る --[[Token Binding]] --[[FAPI Part 2 (Read and Write API Security Profile)]] * 目次 [#ucc92653] #contents *概要 [#ad5adbe3] -OAUTB : OAuth 2.0 Token Binding -[[記名式切符>トークン#b38de47f]]の作成と使用。 **目的 [#md251618] この仕様により、種々のtokenを以下の攻撃から保護できる。 この仕様により、種々のTokenを以下の攻撃から保護できる。 -中間者 -tokenのエクスポート -Tokenのエクスポート -再生攻撃 **対象 [#n04b22a6] 以下のtokenに "Token Binding"を適用できる。 以下のTokenに "Token Binding"を適用できる。 -access_tokens -refresh_tokens -code(Authorization Codes) -JWT Authorization Grants -JWT Client Authentication *詳細 [#cf273502] **"Token Binding"とは、 [#u9a37ed1] 上記のtokenをClient上の非対称キー・ペアにバインドする。 上記のTokenをClient上の非対称キー・ペアにバインドする。 ***TLS Extension for Token Binding Protocol Negotiation [#vd9e92de] -[I-D.ietf-tokbind-negotiation] ***The Token Binding Protocol Version 1.0 [#w297a5ad] -[I-D.ietf-tokbind-protocol] ***Token Binding over HTTP [#a147bbc5] -[I-D.ietf-tokbind-https] -以下の用語が定義されている。 --"Provided" --"Referred" --"Token Binding"および "Token Binding ID" *経過 [#zcac82d9] 雲行きは怪しい。 **執筆時点では...。 [#pe0549d8] -現在の開発プラットフォームとツールでは、比較的少数のサポートしかない。~ (TLSスタックなどインフラレイヤの変更を伴い、アプリケーションレイヤだけで解決できない) -基礎となるコアのToken Binding仕様がよりよくサポートされるまで、~ OAuth 2.0 Token Bindingの実用的な実装は実行不可能。 -この代替として「[[Mutual TLS (MTLS)>OAuth 2.0 Mutual TLS Client Authentication and Certificate Bound Access Tokens]]」がある。 **関連RFC * 3 がリリース [#z9d3debe] 2018 年 10 月初旬に Token Binding 関連の~ [[RFC 8471、8472、8473>#z9b55bcd]]がリリースされた。 **Chromeがサポートを中止 [#e00870e5] -コミュニテイから強く要望されたにも関わらず~ https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/OkdLUyYmY1E -Chrome は Token Binding サポート中止を決定~ https://www.chromestatus.com/feature/5097603234529280 **[[CDR>https://consumerdatastandardsaustralia.github.io/]]では利用禁止に...。 [#fb235f5e] -11.3. Holder of Key Mechanism – Consumer Data Right Security Profile~ https://consumerdatastandardsaustralia.github.io/infosec/#11-3-holder-of-key-mechanism >OAUTB SHALL NOT be supported due to a lack industry support. *参考 [#r308a29a] -Token Bindingについて - 株式会社レピダム~ https://lepidum.co.jp/blog/2016-12-20/tokbind/ **RFC [#z9b55bcd] -draft-ietf-oauth-token-binding-xx - OAuth 2.0 Token Binding~ https://tools.ietf.org/html/draft-ietf-oauth-token-binding ***TLS Extension for Token Binding Protocol Negotiation [#te470607] - https://tools.ietf.org/html/draft-ietf-oauth-token-binding-06#ref-I-D.ietf-tokbind-negotiation --https://tools.ietf.org/html/draft-ietf-tokbind-negotiation-10 ↓ ↓ ↓ -RFC 8472 - Transport Layer Security (TLS) Extension for Token Binding Protocol Negotiation~ https://tools.ietf.org/html/rfc8472 ***The Token Binding Protocol Version 1.0 [#a15d285a] -https://tools.ietf.org/html/draft-ietf-oauth-token-binding-06#ref-I-D.ietf-tokbind-protocol --https://tools.ietf.org/html/draft-ietf-tokbind-protocol-16 ↓ ↓ ↓ -RFC 8471 - The Token Binding Protocol Version 1.0~ https://tools.ietf.org/html/rfc8471 ***Token Binding over HTTP [#y8043850] -https://tools.ietf.org/html/draft-ietf-oauth-token-binding-06#ref-I-D.ietf-tokbind-https --https://tools.ietf.org/html/draft-ietf-tokbind-https-12 ↓ ↓ ↓ -RFC 8473 - Token Binding over HTTP~ https://tools.ietf.org/html/rfc8473 ---- Tags: [[:IT国際標準]], [[:認証基盤]], [[:クレームベース認証]], [[:OAuth]]