Aller au contenu principal

3.1. JWT Certificate Thumbprint Confirmation Method (Méthode de confirmation par empreinte de certificat JWT)

3.1. JWT Certificate Thumbprint Confirmation Method (Méthode de confirmation par empreinte de certificat JWT)

Lorsque les jetons d'accès sont représentés comme JSON Web Tokens (JWT) [RFC7519], les informations d'empreinte du certificat DEVRAIENT être représentées à l'aide du membre de méthode de confirmation x5t#S256 défini ici.

Pour représenter l'empreinte d'un certificat dans un JWT, cette spécification définit le nouveau membre JWT Confirmation Method [RFC7800] x5t#S256 pour l'empreinte SHA-256 du certificat X.509. La valeur du membre x5t#S256 est un hachage SHA-256 [SHS] (aussi appelé empreinte, fingerprint ou digest) de l'encodage DER [X690] du certificat X.509 [RFC5280], encodé en base64url [RFC4648]. La valeur encodée en base64url DOIT omettre tous les caractères de remplissage '=' en fin de chaîne et NE DOIT PAS inclure de saut de ligne, d'espace ni d'autres caractères supplémentaires.

Voici un exemple de charge utile JWT contenant une méthode de confirmation par empreinte de certificat x5t#S256. Le nouveau contenu JWT introduit par cette spécification est la revendication de méthode de confirmation cnf en bas de l'exemple, qui contient le membre de méthode de confirmation x5t#S256 avec la valeur qui est l'empreinte du certificat client auquel le jeton d'accès est lié.

{
  "iss": "https://server.example.com",
  "sub": "[email protected]",
  "exp": 1493726400,
  "nbf": 1493722800,
  "cnf":{
    "x5t#S256": "bwcK0esc3ACC3DB2Y5_lESsXE8o9ltc05O89jdN-dg2"
  }
}

Figure 2 : Exemple d'ensemble de revendications JWT avec méthode de confirmation par empreinte de certificat X.509

Dernière mise à jour le