RFC 9449 - OAuth 2.0 Dimostrazione del Possesso (DPoP)
- Stato: Proposed Standard
- Pubblicato: September 2023
- Stream: IETF
- Errata: Nessun errata
Riassunto
Questo documento descrive un meccanismo per vincolare al mittente (sender-constraining) i token OAuth 2.0 tramite un meccanismo di prova di possesso a livello applicativo. Questo meccanismo consente il rilevamento di attacchi di replay con token di accesso e di aggiornamento.
Stato di questo promemoria
Questo è un documento del Percorso degli Standard Internet (Internet Standards Track).
Questo documento è un prodotto della Internet Engineering Task Force (IETF). Rappresenta il consenso della comunità IETF. È stato sottoposto a revisione pubblica ed è stato approvato per la pubblicazione dall'Internet Engineering Steering Group (IESG). Ulteriori informazioni sugli standard Internet sono disponibili nella Sezione 2 della RFC 7841.
Informazioni sullo stato attuale di questo documento, eventuali errata e come fornire feedback sono disponibili all'indirizzo https://www.rfc-editor.org/info/rfc9449.
Avviso di Copyright
Copyright (c) 2023 IETF Trust e le persone identificate come autori del documento. Tutti i diritti riservati.
Questo documento è soggetto al BCP 78 e alle Disposizioni Legali IETF Trust relative ai Documenti IETF (https://trustee.ietf.org/license-info) in vigore alla data di pubblicazione di questo documento. Si prega di visionare attentamente questi documenti, poiché descrivono i diritti e le restrizioni relativi a questo documento. I componenti di codice estratti da questo documento devono includere il testo della Licenza BSD Semplificata come descritto nella Sezione 4.e delle Disposizioni Legali Trust e sono forniti senza garanzia come descritto nella Licenza BSD Semplificata.
Contents
- 1. Introduction (Introduzione)
- 2. Objectives (Obiettivi)
- 3. Concept (Concetto)
- 4. DPoP Proof JWTs (JWT di prova DPoP)
- 5. DPoP Access Token Request
- 6. Public Key Confirmation
- 7. Protected Resource Access
- 8. Authorization Server-Provided Nonce
- 9. Resource Server-Provided Nonce
- 10. Authorization Code Binding to a DPoP Key
- 11. Security Considerations
- 11.1. DPoP Proof Replay
- 11.2. DPoP Proof Pre-generation
- 11.3. DPoP Nonce Downgrade
- 11.4. Untrusted Code in the Client Context
- 11.5. Signed JWT Swapping
- 11.6. Signature Algorithms
- 11.7. Request Integrity
- 11.8. Access Token and Public Key Binding
- 11.9. Authorization Code and Public Key Binding
- 11.10. Hash Algorithm Agility
- 11.11. Binding to Client Identity
- 12. IANA Considerations
- 12.1. OAuth Access Token Types Registration
- 12.2. OAuth Extensions Error Registration
- 12.3. OAuth Parameters Registration
- 12.4. HTTP Authentication Schemes Registration
- 12.5. Media Type Registration
- 12.6. JWT Confirmation Methods Registration
- 12.7. JSON Web Token Claims Registration
- 12.8. Hypertext Transfer Protocol (HTTP) Field Name Registration
- 12.9. OAuth Authorization Server Metadata Registration
- 12.10. OAuth Dynamic Client Registration Metadata
- 13. References
- Acknowledgements (Ringraziamenti)
- Authors' Addresses (Indirizzi degli autori)
Risorse correlate
- Testo ufficiale: RFC 9449 (TXT)
- Pagina ufficiale: RFC 9449 DataTracker
- Info: RFC Editor Info