Framework di autorizzazione OAuth 2.0: Richiesta di autorizzazione protetta con JWT (JAR)

• Stato: Proposed Standard
• Pubblicato: August 2021
• Stream: IETF
• Errata: Nessun errata

---

Informazioni sul documento

• Numero RFC: 9101
• Titolo: Framework di autorizzazione OAuth 2.0: Richiesta di autorizzazione protetta con JWT (JAR)
• Autori: N. Sakimura (NAT.Consulting), J. Bradley (Yubico), M. Jones (Microsoft)
• Data: agosto 2021
• Categoria: Standards Track

Abstract

La richiesta di autorizzazione OAuth 2.0 descritta nella RFC 6749 utilizza la serializzazione dei parametri di query, per cui i parametri sono codificati nell'URI della richiesta e inviati tramite user agent come i browser. Pur essendo semplice da implementare, ciò implica che a) la comunicazione tramite gli user agent non è protetta in integrità e i parametri possono essere alterati, b) l'origine della comunicazione non è autenticata e c) la comunicazione può essere monitorata. Per queste vulnerabilità sono stati proposti diversi attacchi al protocollo.

Questo documento introduce la possibilità di inviare i parametri della richiesta in un JSON Web Token (JWT), consentendo di firmare la richiesta con JSON Web Signature (JWS) e cifrarla con JSON Web Encryption (JWE) per ottenere integrità, autenticazione dell'origine e riservatezza. La richiesta può essere inviata per valore o per riferimento.

Stato del memo

Questo è un documento Internet Standards Track.

È un prodotto dell'IETF e riflette il consenso della comunità IETF; è stato sottoposto a revisione pubblica e approvato per la pubblicazione dall'IESG. Ulteriori informazioni sugli standard Internet sono nella sezione 2 della RFC 7841.

Stato attuale, errata e feedback: https://www.rfc-editor.org/info/rfc9101.

Copyright

Copyright (c) 2021 IETF Trust e le persone indicate come autori. Tutti i diritti riservati.

Il documento è soggetto a BCP 78 e alle disposizioni legali dell'IETF Trust relative ai documenti IETF (https://trustee.ietf.org/license-info) in vigore alla data di pubblicazione. I componenti di codice estratti devono includere il testo della licenza BSD semplificata di cui alla sezione 4.e delle disposizioni legali.

Contents

• 1. Introduction (Introduzione)
  • 1.1. Requirements Language (Linguaggio dei requisiti)
• 2. Terminology (Terminologia)
  • 2.1. Request Object (Oggetto di richiesta)
  • 2.2. Request Object URI (URI dell'oggetto di richiesta)
• 3. Symbols and Abbreviated Terms (Simboli e abbreviazioni)
• 4. Request Object (Oggetto di richiesta)
• 5. Authorization Request (Richiesta di autorizzazione)
  • 5.1. Passing a Request Object by Value (Passaggio per valore)
  • 5.2. Passing a Request Object by Reference (Passaggio per riferimento)
    • 5.2.1. URI Referencing the Request Object (URI che referenzia l'oggetto)
    • 5.2.2. Request Using the "request_uri" Request Parameter (Richiesta con request_uri)
    • 5.2.3. Authorization Server Fetches Request Object (Il server recupera l'oggetto)
• 6. Validating JWT-Based Requests (Validazione delle richieste basate su JWT)
  • 6.1. JWE Encrypted Request Object (Oggetto cifrato con JWE)
  • 6.2. JWS-Signed Request Object (Oggetto firmato con JWS)
  • 6.3. Request Parameter Assembly and Validation (Assemblaggio e validazione)
• 7. Authorization Server Response (Risposta del server di autorizzazione)
• 8. TLS Requirements (Requisiti TLS)
• 9. IANA Considerations (Considerazioni IANA)
  • 9.1. OAuth Parameters Registration (Registrazione parametri OAuth)
  • 9.2. OAuth Authorization Server Metadata Registry (Registro metadati del server)
  • 9.3. OAuth Dynamic Client Registration Metadata Registry (Registro metadati registrazione client)
  • 9.4. Media Type Registration (Registrazione tipo media)
    • 9.4.1. Registry Contents (Contenuti del registro)
• 10. Security Considerations (Considerazioni di sicurezza)
  • 10.1. Choice of Algorithms (Scelta degli algoritmi)
  • 10.2. Request Source Authentication (Autenticazione dell'origine)
  • 10.3. Explicit Endpoints (Endpoint espliciti)
  • 10.4. Risks Associated with request_uri (Rischi legati a request_uri)
    • 10.4.1. DDoS Attack on the Authorization Server (Attacco DDoS al server)
    • 10.4.2. Request URI Rewrite (Riscrittura dell'URI di richiesta)
  • 10.5. Downgrade Attack (Attacco di downgrade)
  • 10.6. TLS Security Considerations (Sicurezza TLS)
  • 10.7. Parameter Mismatches (Disallineamenti dei parametri)
  • 10.8. Cross-JWT Confusion (Confusione tra JWT)
• 11. Privacy Considerations (Privacy)
  • 11.1. Collection Limitation (Limitazione della raccolta)
  • 11.2. Disclosure Limitation (Limitazione della divulgazione)
    • 11.2.1. Request Disclosure (Divulgazione della richiesta)
    • 11.2.2. Tracking Using Request Object URI (Tracciamento tramite URI)
• 12. References (Riferimenti)
  • 12.1. Normative References (Riferimenti normativi)
  • 12.2. Informative References (Riferimenti informativi)
• Acknowledgements (Ringraziamenti)
• Authors' Addresses (Indirizzi degli autori)