Cadre d'autorisation OAuth 2.0 : Demande d'autorisation sécurisée par JWT (JAR)

• Statut: Proposed Standard
• Publié: August 2021
• Stream: IETF
• Errata: Pas d'errata

---

Informations sur le document

• Numéro RFC : 9101
• Titre : Cadre d'autorisation OAuth 2.0 : Demande d'autorisation sécurisée par JWT (JAR)
• Auteurs : N. Sakimura (NAT.Consulting), J. Bradley (Yubico), M. Jones (Microsoft)
• Date : août 2021
• Catégorie : Standards Track

Résumé

La demande d'autorisation OAuth 2.0 décrite dans la RFC 6749 utilise la sérialisation des paramètres de requête, ce qui signifie que les paramètres sont encodés dans l'URI de la requête et envoyés via des agents utilisateur tels que les navigateurs Web. Bien que facile à mettre en œuvre, cela implique que a) la communication via les agents utilisateur n'est pas protégée en intégrité et que les paramètres peuvent être altérés, b) la source de la communication n'est pas authentifiée, et c) la communication peut être surveillée. En raison de ces faiblesses, plusieurs attaques contre le protocole ont été identifiées.

Ce document introduit la possibilité d'envoyer les paramètres de requête dans un JSON Web Token (JWT), ce qui permet de signer la requête avec JSON Web Signature (JWS) et de la chiffrer avec JSON Web Encryption (JWE) afin d'obtenir l'intégrité, l'authentification de la source et la confidentialité. La requête peut être envoyée par valeur ou par référence.

État de ce mémo

Il s'agit d'un document Internet Standards Track.

Ce document est un produit de l'IETF. Il représente le consensus de la communauté IETF. Il a fait l'objet d'un examen public et a été approuvé pour publication par l'IESG. Pour plus d'informations sur les normes Internet, voir la section 2 de la RFC 7841.

L'état actuel de ce document, les errata et les commentaires : https://www.rfc-editor.org/info/rfc9101.

Copyright

Copyright (c) 2021 IETF Trust et les personnes identifiées comme auteurs. Tous droits réservés.

Ce document est soumis au BCP 78 et aux dispositions légales de l'IETF Trust relatives aux documents IETF (https://trustee.ietf.org/license-info) en vigueur à la date de publication. Les composants de code extraits doivent inclure le texte de licence BSD simplifiée décrite à la section 4.e des dispositions légales.

Contents

• 1. Introduction
  • 1.1. Requirements Language
• 2. Terminology
  • 2.1. Request Object
  • 2.2. Request Object URI
• 3. Symbols and Abbreviated Terms
• 4. Request Object
• 5. Authorization Request
  • 5.1. Passing a Request Object by Value
  • 5.2. Passing a Request Object by Reference
    • 5.2.1. URI Referencing the Request Object
    • 5.2.2. Request Using the "request_uri" Request Parameter
    • 5.2.3. Authorization Server Fetches Request Object
• 6. Validating JWT-Based Requests
  • 6.1. JWE Encrypted Request Object
  • 6.2. JWS-Signed Request Object
  • 6.3. Request Parameter Assembly and Validation
• 7. Authorization Server Response
• 8. TLS Requirements
• 9. IANA Considerations
  • 9.1. OAuth Parameters Registration
  • 9.2. OAuth Authorization Server Metadata Registry
  • 9.3. OAuth Dynamic Client Registration Metadata Registry
  • 9.4. Media Type Registration
    • 9.4.1. Registry Contents
• 10. Security Considerations
  • 10.1. Choice of Algorithms
  • 10.2. Request Source Authentication
  • 10.3. Explicit Endpoints
  • 10.4. Risks Associated with request_uri
    • 10.4.1. DDoS Attack on the Authorization Server
    • 10.4.2. Request URI Rewrite
  • 10.5. Downgrade Attack
  • 10.6. TLS Security Considerations
  • 10.7. Parameter Mismatches
  • 10.8. Cross-JWT Confusion
• 11. Privacy Considerations
  • 11.1. Collection Limitation
  • 11.2. Disclosure Limitation
    • 11.2.1. Request Disclosure
    • 11.2.2. Tracking Using Request Object URI
• 12. References
  • 12.1. Normative References
  • 12.2. Informative References
• Acknowledgements
• Authors' Addresses