OAuth 2.0 Token Binding
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-戻る
--[[Token Binding]]
--[[FAPI Part 2 (Read and Write API Security Profile)]]
* 目次 [#ucc92653]
#contents
*概要 [#ad5adbe3]
-OAUTB : OAuth 2.0 Token Binding
-[[記名式切符>トークン#b38de47f]]の作成と使用。
**目的 [#md251618]
この仕様により、種々のTokenを以下の攻撃から保護できる。
-中間者
-Tokenのエクスポート
-再生攻撃
**対象 [#n04b22a6]
以下のTokenに "Token Binding"を適用できる。
-access_tokens
-refresh_tokens
-code(Authorization Codes)
-JWT Authorization Grants
-JWT Client Authentication
*詳細 [#cf273502]
**"Token Binding"とは、 [#u9a37ed1]
上記のTokenをClient上の非対称キー・ペアにバインドする。
***TLS Extension for Token Binding Protocol Negotiation [...
-[I-D.ietf-tokbind-negotiation]
***The Token Binding Protocol Version 1.0 [#w297a5ad]
-[I-D.ietf-tokbind-protocol]
***Token Binding over HTTP [#a147bbc5]
-[I-D.ietf-tokbind-https]
-以下の用語が定義されている。
--"Provided"
--"Referred"
--"Token Binding"および "Token Binding ID"
*経過 [#zcac82d9]
雲行きは怪しい。
**執筆時点では...。 [#pe0549d8]
-現在の開発プラットフォームとツールでは、比較的少数のサポ...
(TLSスタックなどインフラレイヤの変更を伴い、アプリケーシ...
-基礎となるコアのToken Binding仕様がよりよくサポートされ...
OAuth 2.0 Token Bindingの実用的な実装は実行不可能。
-この代替として「[[Mutual TLS (MTLS)>OAuth 2.0 Mutual TLS...
**関連RFC * 3 がリリース [#z9d3debe]
2018 年 10 月初旬に Token Binding 関連の~
[[RFC 8471、8472、8473>#z9b55bcd]]がリリースされた。
**Chromeがサポートを中止 [#e00870e5]
-コミュニテイから強く要望されたにも関わらず~
https://groups.google.com/a/chromium.org/forum/#!topic/bl...
-Chrome は Token Binding サポート中止を決定~
https://www.chromestatus.com/feature/5097603234529280
**[[CDR>https://consumerdatastandardsaustralia.github.io/...
-11.3. Holder of Key Mechanism – Consumer Data Right Secu...
https://consumerdatastandardsaustralia.github.io/infosec/...
>OAUTB SHALL NOT be supported due to a lack industry supp...
*参考 [#r308a29a]
-Token Bindingについて - 株式会社レピダム~
https://lepidum.co.jp/blog/2016-12-20/tokbind/
**RFC [#z9b55bcd]
-draft-ietf-oauth-token-binding-xx - OAuth 2.0 Token Bind...
https://tools.ietf.org/html/draft-ietf-oauth-token-binding
***TLS Extension for Token Binding Protocol Negotiation [...
-
https://tools.ietf.org/html/draft-ietf-oauth-token-bindin...
--https://tools.ietf.org/html/draft-ietf-tokbind-negotiat...
↓ ↓ ↓
-RFC 8472 - Transport Layer Security (TLS) Extension for ...
https://tools.ietf.org/html/rfc8472
***The Token Binding Protocol Version 1.0 [#a15d285a]
-https://tools.ietf.org/html/draft-ietf-oauth-token-bindi...
--https://tools.ietf.org/html/draft-ietf-tokbind-protocol...
↓ ↓ ↓
-RFC 8471 - The Token Binding Protocol Version 1.0~
https://tools.ietf.org/html/rfc8471
***Token Binding over HTTP [#y8043850]
-https://tools.ietf.org/html/draft-ietf-oauth-token-bindi...
--https://tools.ietf.org/html/draft-ietf-tokbind-https-12
↓ ↓ ↓
-RFC 8473 - Token Binding over HTTP~
https://tools.ietf.org/html/rfc8473
----
Tags: [[:IT国際標準]], [[:認証基盤]], [[:クレームベース認...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-戻る
--[[Token Binding]]
--[[FAPI Part 2 (Read and Write API Security Profile)]]
* 目次 [#ucc92653]
#contents
*概要 [#ad5adbe3]
-OAUTB : OAuth 2.0 Token Binding
-[[記名式切符>トークン#b38de47f]]の作成と使用。
**目的 [#md251618]
この仕様により、種々のTokenを以下の攻撃から保護できる。
-中間者
-Tokenのエクスポート
-再生攻撃
**対象 [#n04b22a6]
以下のTokenに "Token Binding"を適用できる。
-access_tokens
-refresh_tokens
-code(Authorization Codes)
-JWT Authorization Grants
-JWT Client Authentication
*詳細 [#cf273502]
**"Token Binding"とは、 [#u9a37ed1]
上記のTokenをClient上の非対称キー・ペアにバインドする。
***TLS Extension for Token Binding Protocol Negotiation [...
-[I-D.ietf-tokbind-negotiation]
***The Token Binding Protocol Version 1.0 [#w297a5ad]
-[I-D.ietf-tokbind-protocol]
***Token Binding over HTTP [#a147bbc5]
-[I-D.ietf-tokbind-https]
-以下の用語が定義されている。
--"Provided"
--"Referred"
--"Token Binding"および "Token Binding ID"
*経過 [#zcac82d9]
雲行きは怪しい。
**執筆時点では...。 [#pe0549d8]
-現在の開発プラットフォームとツールでは、比較的少数のサポ...
(TLSスタックなどインフラレイヤの変更を伴い、アプリケーシ...
-基礎となるコアのToken Binding仕様がよりよくサポートされ...
OAuth 2.0 Token Bindingの実用的な実装は実行不可能。
-この代替として「[[Mutual TLS (MTLS)>OAuth 2.0 Mutual TLS...
**関連RFC * 3 がリリース [#z9d3debe]
2018 年 10 月初旬に Token Binding 関連の~
[[RFC 8471、8472、8473>#z9b55bcd]]がリリースされた。
**Chromeがサポートを中止 [#e00870e5]
-コミュニテイから強く要望されたにも関わらず~
https://groups.google.com/a/chromium.org/forum/#!topic/bl...
-Chrome は Token Binding サポート中止を決定~
https://www.chromestatus.com/feature/5097603234529280
**[[CDR>https://consumerdatastandardsaustralia.github.io/...
-11.3. Holder of Key Mechanism – Consumer Data Right Secu...
https://consumerdatastandardsaustralia.github.io/infosec/...
>OAUTB SHALL NOT be supported due to a lack industry supp...
*参考 [#r308a29a]
-Token Bindingについて - 株式会社レピダム~
https://lepidum.co.jp/blog/2016-12-20/tokbind/
**RFC [#z9b55bcd]
-draft-ietf-oauth-token-binding-xx - OAuth 2.0 Token Bind...
https://tools.ietf.org/html/draft-ietf-oauth-token-binding
***TLS Extension for Token Binding Protocol Negotiation [...
-
https://tools.ietf.org/html/draft-ietf-oauth-token-bindin...
--https://tools.ietf.org/html/draft-ietf-tokbind-negotiat...
↓ ↓ ↓
-RFC 8472 - Transport Layer Security (TLS) Extension for ...
https://tools.ietf.org/html/rfc8472
***The Token Binding Protocol Version 1.0 [#a15d285a]
-https://tools.ietf.org/html/draft-ietf-oauth-token-bindi...
--https://tools.ietf.org/html/draft-ietf-tokbind-protocol...
↓ ↓ ↓
-RFC 8471 - The Token Binding Protocol Version 1.0~
https://tools.ietf.org/html/rfc8471
***Token Binding over HTTP [#y8043850]
-https://tools.ietf.org/html/draft-ietf-oauth-token-bindi...
--https://tools.ietf.org/html/draft-ietf-tokbind-https-12
↓ ↓ ↓
-RFC 8473 - Token Binding over HTTP~
https://tools.ietf.org/html/rfc8473
----
Tags: [[:IT国際標準]], [[:認証基盤]], [[:クレームベース認...
ページ名: