3.1. JWT Certificate Thumbprint Confirmation Method

3.1 JWT Certificate Thumbprint Confirmation Method

access token が JSON Web Token (JWT) [RFC7519] として表される場合, 証明書ハッシュ情報は本文で定義する x5t#S256 confirmation method member を用いて表すべきである.

JWT 内で証明書のハッシュを表すため, 本仕様は X.509 Certificate SHA-256 Thumbprint 用の新しい JWT Confirmation Method [RFC7800] メンバー x5t#S256 を定義する. x5t#S256 の値は, X.509 証明書 [RFC5280] の DER 符号化 [X690] の SHA-256 [SHS] ハッシュ (thumbprint, fingerprint, digest とも呼ばれる) を base64url 符号化 [RFC4648] したものである. base64url 値は末尾のパッド = をすべて省略し, 改行, 空白, その他の追加文字を含んではならない.

以下は x5t#S256 証明書フィンガープリント確認方法を含む JWT payload の例である. 本仕様で新たに導入される JWT 内容は, 例の末尾にある cnf 確認方法クレームで, access token がバインドされるクライアント証明書のハッシュを値とする x5t#S256 メンバーを持つ.

{
  "iss": "https://server.example.com",
  "sub": "[email protected]",
  "exp": 1493726400,
  "nbf": 1493722800,
  "cnf":{
    "x5t#S256": "bwcK0esc3ACC3DB2Y5_lESsXE8o9ltc05O89jdN-dg2"
  }
}

図 2: X.509 証明書フィンガープリント確認方法を含む JWT クレームセット例

3.1 JWT Certificate Thumbprint Confirmation Method​

3.1 JWT Certificate Thumbprint Confirmation Method