RFC 8392 - CBOR Web Token (CWT)

• Statut: Proposed Standard
• Publié: May 2018
• Stream: IETF
• Errata: Pas d'errata

---

Résumé

CBOR Web Token (CWT) est un moyen compact de représenter des revendications (claims) à transférer entre deux parties. Les revendications dans un CWT sont encodées dans la représentation binaire concise d'objets (Concise Binary Object Representation, CBOR), et CBOR Object Signing and Encryption (COSE) est utilisé pour une protection de sécurité supplémentaire au niveau de la couche application. Une revendication est une information affirmée concernant un sujet et est représentée comme une paire nom/valeur composée d'un nom de revendication et d'une valeur de revendication. CWT est dérivé de JSON Web Token (JWT) mais utilise CBOR plutôt que JSON.

Statut de ce mémo

Il s'agit d'un document Internet Standards Track.

Ce document est un produit de l'Internet Engineering Task Force (IETF). Il représente le consensus de la communauté IETF. Il a fait l'objet d'un examen public et a été approuvé pour publication par l'Internet Engineering Steering Group (IESG). De plus amples informations sur les normes Internet sont disponibles dans la section 2 du RFC 7841.

Des informations sur le statut actuel de ce document, les éventuels errata, et comment fournir des commentaires peuvent être obtenues à l'adresse https://www.rfc-editor.org/info/rfc8392.

Notice de droit d'auteur

Copyright (c) 2018 IETF Trust et les personnes identifiées comme auteurs du document. Tous droits réservés.

Ce document est soumis au BCP 78 et aux dispositions légales de l'IETF Trust relatives aux documents IETF (https://trustee.ietf.org/license-info) en vigueur à la date de publication de ce document. Veuillez examiner attentivement ces documents, car ils décrivent vos droits et restrictions concernant ce document. Les composants de code extraits de ce document doivent inclure le texte de licence BSD simplifiée tel que décrit dans la Section 4.e des dispositions légales du Trust et sont fournis sans garantie comme décrit dans la licence BSD simplifiée.

Contents

• 1. Introduction
  • 1.1 Terminologie liée à CBOR
• 2. Terminology (Terminologie)
• 3. Claims (Revendications)
  • 3.1 Registered Claims (Revendications enregistrées)
    • 3.1.1 iss (Issuer) Claim
    • 3.1.2 sub (Subject) Claim
    • 3.1.3 aud (Audience) Claim
    • 3.1.4 exp (Expiration Time) Claim
    • 3.1.5 nbf (Not Before) Claim
    • 3.1.6 iat (Issued At) Claim
    • 3.1.7 cti (CWT ID) Claim
• 4. Summary of Claim Names, Keys, and Value Types (Résumé des noms, clés et types de valeurs des revendications)
• 5. CBOR Tags and Claim Values (Balises CBOR et valeurs de revendication)
• 6. CWT CBOR Tag (Balise CBOR CWT)
• 7. Creating and Validating CWTs (Création et validation des CWT)
  • 7.1 Creating a CWT (Création d'un CWT)
  • 7.2 Validating a CWT (Validation d'un CWT)
• 8. Security Considerations (Considérations de sécurité)
• 9. IANA Considerations (Considérations IANA)
  • 9.1 CBOR Web Token (CWT) Claims Registry
    • 9.1.1 Registration Template (Modèle d'enregistrement)
    • 9.1.2 Initial Registry Contents (Contenu initial du registre)
  • 9.2 Media Type Registration (Enregistrement du type de média)
    • 9.2.1 Registry Contents (Contenu du registre)
  • 9.3 CoAP Content-Formats Registration (Enregistrement des formats de contenu CoAP)
    • 9.3.1 Registry Contents (Contenu du registre)
  • 9.4 CBOR Tag Registration (Enregistrement de balise CBOR)
    • 9.4.1 Registry Contents (Contenu du registre)
• 10. References (Références)
  • 10.1 Normative References (Références normatives)
  • 10.2 Informative References (Références informatives)
• Appendix A. Examples (Exemples)
  • A.1 Example CWT Claims Set
  • A.2 Example Keys
    • A.2.1 128-Bit Symmetric Key
    • A.2.2 256-Bit Symmetric Key
    • A.2.3 Elliptic Curve Digital Signature Algorithm (ECDSA) P-256 256-Bit COSE Key
  • A.3 Example Signed CWT
  • A.4 Example MACed CWT
  • A.5 Example Encrypted CWT
  • A.6 Example Nested CWT
  • A.7 Example MACed CWT with a Floating-Point Value
• Acknowledgements (Remerciements)
• Authors' Addresses (Adresses des auteurs)