メインコンテンツまでスキップ

Appendix B. Relationship to Token Binding

Appendix B. Relationship to Token Binding

OAuth 2.0 Token Binding [TOKEN] は OAuth 全体で用いられる各種アーティファクトとトークンへの Token Binding の適用を可能にする. これには access token を Token Binding 鍵にバインドすることが含まれ, 動機と設計の面で本文書で定義する mutual-TLS クライアント証明書バインド access token と類似点がある. 両文書はいわゆる access token の proof-of-possession セキュリティメカニズムを定義し, クライアントは保護リソースにアクセスするときに暗号鍵材料の保有を証明しなければならない. 詳細は両文書でやや異なるが, いずれも authorization server が発行する access token をクライアントが保持する非対称鍵ペアにバインドし, クライアントは保護リソースにアクセスする TLS 接続に関してそのペアの秘密鍵の保有を証明する.

Token Binding はクライアントで生成された裸の鍵を用い, 本文書で用いる証明書の作成, 配布, 管理の多くの難しさを避ける. しかし執筆時点では Token Binding は比較的新しく, 利用可能なアプリケーション開発プラットフォームとツールでのサポートは相対的に少ない. 基盤となるコア Token Binding 仕様のサポートが改善されるまで, OAuth 2.0 Token Binding の実用的実装は困難である. 一方 mutual TLS は長く存在し, Web サーバと開発プラットフォームで広くサポートされている. その結果, OAuth 2.0 Mutual-TLS Client Authentication and Certificate-Bound Access Tokens は既存のプラットフォームとツールですぐに構築・展開できる. 将来, 両仕様は異なる環境で類似問題を解決するために並行展開される可能性が高い. authorization server は異なるクライアントに発行するトークンに対し異なる proof-of-possession メカニズムを用いて両仕様を同時にサポートすることもあり得る.

最終更新