Zum Hauptinhalt springen

3.1. JWT Certificate Thumbprint Confirmation Method (JWT-Zertifikats-Fingerprint)

3.1 JWT Certificate Thumbprint Confirmation Method (JWT-Zertifikats-Fingerprint)

Werden Access Tokens als JSON Web Tokens (JWT) [RFC7519] dargestellt, SOLL die Zertifikatshash-Information mit dem hier definierten Bestätigungsmethoden-Mitglied x5t#S256 ausgedrückt werden.

Zur Darstellung des Zertifikatshashes in einem JWT definiert diese Spezifikation das neue JWT-Confirmation-Method-Mitglied [RFC7800] x5t#S256 für den X.509-Zertifikats-SHA-256-Fingerprint. Der Wert von x5t#S256 ist eine base64url-kodierte [RFC4648] SHA-256-[SHS]-Hash (Thumbprint, Fingerprint oder Digest) der DER-Kodierung [X690] des X.509-Zertifikats [RFC5280]. Der base64url-Wert MUSS alle nachgestellten Padding-Zeichen = weglassen und DARF keine Zeilenumbrüche, Leerzeichen oder sonstige Zusatzzeichen enthalten.

Nachfolgend ein Beispiel-JWT-Payload mit x5t#S256. Neu eingeführt ist der cnf-Bestätigungsanspruch am Ende mit x5t#S256, dessen Wert der Hash des Clientzertifikats ist, an das das Access Token gebunden ist.

{
  "iss": "https://server.example.com",
  "sub": "[email protected]",
  "exp": 1493726400,
  "nbf": 1493722800,
  "cnf":{
    "x5t#S256": "bwcK0esc3ACC3DB2Y5_lESsXE8o9ltc05O89jdN-dg2"
  }
}

Abbildung 2: Beispiel-JWT-Claims-Set mit X.509-Zertifikats-Fingerprint-Bestätigung

Letztes Update am