3.2. Confirmation Method for Token Introspection

3.2 Confirmation Method for Token Introspection

OAuth 2.0 Token Introspection [RFC7662] は, 保護リソースが authorization server に access token のアクティブ状態を問い合わせ, トークンに関するメタ情報を得る方法を定義する.

mutual-TLS クライアント証明書バインド access token について, トークンがバインドされる証明書のハッシュは, トークン introspection 応答のメタ情報として保護リソースに伝えられる. ハッシュはセクション 3.1 の証明書 SHA-256 フィンガープリント確認方法と同じ x5t#S256 を伴う cnf 構造を用い, introspection 応答 JSON のトップレベルメンバーとして伝える. 保護リソースはその証明書ハッシュを mutual-TLS 認証に用いたクライアント証明書のハッシュと比較し, 一致しなければ要求を拒否する.

以下は x5t#S256 証明書フィンガープリント確認方法を伴うアクティブトークンの introspection 応答例である. 本仕様で新たに導入される内容は例の末尾の cnf で, access token がバインドされるクライアント証明書のハッシュを値とする x5t#S256 メンバーを持つ.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "active": true,
  "iss": "https://server.example.com",
  "sub": "[email protected]",
  "exp": 1493726400,
  "nbf": 1493722800,
  "cnf":{
    "x5t#S256": "bwcK0esc3ACC3DB2Y5_lESsXE8o9ltc05O89jdN-dg2"
  }
}

図 3: 証明書バインド access token の introspection 応答例

3.2 Confirmation Method for Token Introspection​

3.2 Confirmation Method for Token Introspection