RFC 9449 - OAuth 2.0 Nachweis des Besitzes (DPoP)

• Status: Proposed Standard
• Veröffentlicht: September 2023
• Stream: IETF
• Errata: Keine Errata

---

Zusammenfassung

Dieses Dokument beschreibt einen Mechanismus zur Senderbindung (Sender-Constraining) von OAuth 2.0-Token über einen Proof-of-Possession-Mechanismus auf Anwendungsebene. Dieser Mechanismus ermöglicht die Erkennung von Replay-Angriffen mit Zugriffs- und Refresh-Token.

Status dieses Memos

Dies ist ein Dokument auf dem Internet Standards Track.

Dieses Dokument ist ein Produkt der Internet Engineering Task Force (IETF). Es repräsentiert den Konsens der IETF-Gemeinschaft. Es wurde öffentlich überprüft und von der Internet Engineering Steering Group (IESG) zur Veröffentlichung genehmigt. Weitere Informationen zu Internetstandards finden Sie in Abschnitt 2 von RFC 7841.

Informationen zum aktuellen Status dieses Dokuments, zu etwaigen Errata und dazu, wie Feedback gegeben werden kann, finden Sie unter https://www.rfc-editor.org/info/rfc9449.

Urheberrechtshinweis

Copyright (c) 2023 IETF Trust und die als Autoren des Dokuments identifizierten Personen. Alle Rechte vorbehalten.

Dieses Dokument unterliegt BCP 78 und den IETF Trust Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info), die zum Zeitpunkt der Veröffentlichung dieses Dokuments gelten. Bitte lesen Sie diese Dokumente sorgfältig durch, da sie Ihre Rechte und Einschränkungen in Bezug auf dieses Dokument beschreiben. Aus diesem Dokument extrahierte Codekomponenten müssen den in Abschnitt 4.e der Trust Legal Provisions beschriebenen Simplified BSD License-Text enthalten und werden ohne Gewährleistung wie in der Simplified BSD License beschrieben bereitgestellt.

Contents

• 1. Introduction (Einführung)
  • 1.1. Conventions and Terminology (Konventionen und Terminologie)
• 2. Objectives (Ziele)
• 3. Concept (Konzept)
• 4. DPoP Proof JWTs (DPoP-Proof-JWTs)
  • 4.1. The DPoP HTTP Header
  • 4.2. DPoP Proof JWT Syntax
  • 4.3. Checking DPoP Proofs
• 5. DPoP Access Token Request
  • 5.1. Authorization Server Metadata
  • 5.2. Client Registration Metadata
• 6. Public Key Confirmation
  • 6.1. JWK Thumbprint Confirmation Method
  • 6.2. JWK Thumbprint Confirmation Method in Token Introspection
• 7. Protected Resource Access
  • 7.1. The DPoP Authentication Scheme
  • 7.2. Compatibility with the Bearer Authentication Scheme
  • 7.3. Client Considerations
• 8. Authorization Server-Provided Nonce
  • 8.1. Nonce Syntax
  • 8.2. Providing a New Nonce Value
• 9. Resource Server-Provided Nonce
• 10. Authorization Code Binding to a DPoP Key
  • 10.1. DPoP with Pushed Authorization Requests
• 11. Security Considerations
  • 11.1. DPoP Proof Replay
  • 11.2. DPoP Proof Pre-generation
  • 11.3. DPoP Nonce Downgrade
  • 11.4. Untrusted Code in the Client Context
  • 11.5. Signed JWT Swapping
  • 11.6. Signature Algorithms
  • 11.7. Request Integrity
  • 11.8. Access Token and Public Key Binding
  • 11.9. Authorization Code and Public Key Binding
  • 11.10. Hash Algorithm Agility
  • 11.11. Binding to Client Identity
• 12. IANA Considerations
  • 12.1. OAuth Access Token Types Registration
  • 12.2. OAuth Extensions Error Registration
  • 12.3. OAuth Parameters Registration
  • 12.4. HTTP Authentication Schemes Registration
  • 12.5. Media Type Registration
  • 12.6. JWT Confirmation Methods Registration
  • 12.7. JSON Web Token Claims Registration
  • 12.8. Hypertext Transfer Protocol (HTTP) Field Name Registration
  • 12.9. OAuth Authorization Server Metadata Registration
  • 12.10. OAuth Dynamic Client Registration Metadata
• 13. References
  • 13.1. Normative References
  • 13.2. Informative References
• Acknowledgements (Danksagungen)
• Authors' Addresses (Adressen der Autoren)

---

Verwandte Ressourcen

• Offizieller Text: RFC 9449 (TXT)
• Offizielle Seite: RFC 9449 DataTracker
• RFC Editor Info: RFC Editor Info