Aller au contenu principal

RFC 9449 - OAuth 2.0 Démontrer la preuve de possession (DPoP)

  • Statut: Proposed Standard
  • Publié: September 2023
  • Stream: IETF
  • Errata: Pas d'errata

Résumé

Ce document décrit un mécanisme permettant de contraindre l'émetteur (sender-constraining) des jetons OAuth 2.0 via un mécanisme de preuve de possession au niveau de l'application. Ce mécanisme permet de détecter les attaques par rejeu avec des jetons d'accès et d'actualisation.

Statut de ce mémoire

Ce document est une spécification sur la voie de la normalisation Internet (Internet Standards Track).

Ce document est un produit de l'Internet Engineering Task Force (IETF). Il représente le consensus de la communauté IETF. Il a fait l'objet d'un examen public et a été approuvé pour publication par l'Internet Engineering Steering Group (IESG). De plus amples informations sur les normes Internet sont disponibles dans la section 2 de la RFC 7841.

Des informations sur le statut actuel de ce document, les errata éventuels et la manière de fournir des commentaires sont disponibles sur https://www.rfc-editor.org/info/rfc9449.

Notice de droit d'auteur

Copyright (c) 2023 IETF Trust et les personnes identifiées comme auteurs du document. Tous droits réservés.

Ce document est soumis au BCP 78 et aux dispositions légales du IETF Trust relatives aux documents IETF (https://trustee.ietf.org/license-info) en vigueur à la date de publication de ce document. Veuillez examiner ces documents avec soin, car ils décrivent vos droits et restrictions concernant ce document. Les composants de code extraits de ce document doivent inclure le texte de licence BSD simplifié tel que décrit dans la section 4.e des dispositions légales du Trust et sont fournis sans garantie telle que décrite dans la licence BSD simplifiée.

Table des matières

  1. Introduction 1.1. Conventions et terminologie
  2. Objectifs
  3. Concept
  4. DPoP Proof JWTs (JWTs de preuve DPoP) 4.1. L'en-tête HTTP DPoP 4.2. Syntaxe du JWT de preuve DPoP 4.3. Vérification des preuves DPoP
  5. Demande de jeton d'accès DPoP 5.1. Métadonnées du serveur d'autorisation 5.2. Métadonnées d'enregistrement du client
  6. Confirmation de clé publique 6.1. Méthode de confirmation par empreinte JWK 6.2. Méthode de confirmation par empreinte JWK dans l'introspection de jeton
  7. Accès aux ressources protégées 7.1. Le schéma d'authentification DPoP 7.2. Compatibilité avec le schéma d'authentification Bearer 7.3. Considérations relatives au client
  8. Nonce fourni par le serveur d'autorisation 8.1. Syntaxe du nonce 8.2. Fournir une nouvelle valeur de nonce
  9. Nonce fourni par le serveur de ressources
  10. Liaison du code d'autorisation à une clé DPoP 10.1. DPoP avec les demandes d'autorisation poussées (PAR)
  11. Considérations de sécurité 11.1. Rejeu de preuve DPoP 11.2. Pré-génération de preuve DPoP 11.3. Rétrogradation de nonce DPoP 11.4. Code non fiable dans le contexte du client 11.5. Échange de JWT signés 11.6. Algorithmes de signature 11.7. Intégrité de la demande 11.8. Liaison du jeton d'accès et de la clé publique 11.9. Liaison du code d'autorisation et de la clé publique 11.10. Agilité de l'algorithme de hachage 11.11. Liaison à l'identité du client
  12. Considérations relatives à l'IANA 12.1. Enregistrement des types de jetons d'accès OAuth 12.2. Enregistrement des erreurs d'extensions OAuth 12.3. Enregistrement des paramètres OAuth 12.4. Enregistrement des schémas d'authentification HTTP 12.5. Enregistrement des types de médias 12.6. Enregistrement des méthodes de confirmation JWT 12.7. Enregistrement des revendications JSON Web Token 12.8. Enregistrement des noms de champs du protocole de transfert hypertexte (HTTP) 12.9. Enregistrement des métadonnées du serveur d'autorisation OAuth 12.10. Métadonnées d'enregistrement de client dynamique OAuth
  13. Références 13.1. Références normatives 13.2. Références informatives
Dernière mise à jour le