OAuth 2.0 認可フレームワーク: JWT により保護された認可リクエスト (JAR)

• ステータス: Proposed Standard
• 発行日: August 2021
• ストリーム: IETF
• エラッタ: エラッタなし

---

ドキュメント情報

• RFC 番号: 9101
• タイトル: OAuth 2.0 認可フレームワーク: JWT により保護された認可リクエスト (JAR)
• 著者: N. Sakimura (NAT.Consulting), J. Bradley (Yubico), M. Jones (Microsoft)
• 日付: 2021 年 8 月
• カテゴリ: Standards Track

抄録

RFC 6749 で説明される OAuth 2.0 の認可リクエストはクエリパラメータのシリアル化を用い, 認可リクエストのパラメータがリクエストの URI にエンコードされ, Web ブラウザなどのユーザエージェント経由で送られる. 実装は容易だが, a) ユーザエージェント経由の通信に整合性保護がなくパラメータが改ざんされうる, b) 通信の発信元が認証されない, c) ユーザエージェント経由の通信が監視されうる, という意味がある. これらの弱点により, プロトコルに対する複数の攻撃が示されている.

本ドキュメントは, リクエストパラメータを JSON Web Token (JWT) で送る能力を導入する. JSON Web Signature (JWS) による署名と JSON Web Encryption (JWE) による暗号化が可能になり, 認可リクエストの整合性, 発信元認証, 機密性が得られる. リクエストは値による転送または参照による転送ができる.

本メモの状態

本ドキュメントは Internet Standards Track ドキュメントである.

本ドキュメントは Internet Engineering Task Force (IETF) の成果物であり, IETF コミュニティの合意を表す. 公開レビューを経て Internet Engineering Steering Group (IESG) による出版承認を受けている. Internet Standards についての詳細は RFC 7841 のセクション 2 を参照のこと.

本ドキュメントの現状, 正誤表, フィードバック方法は https://www.rfc-editor.org/info/rfc9101 を参照のこと.

著作権表示

Copyright (c) 2021 IETF Trust and the persons identified as the document authors. All rights reserved.

本ドキュメントは BCP 78 および IETF Trust の IETF ドキュメントに関する法的条項 (https://trustee.ietf.org/license-info) の対象となる. 出版日時点で有効な版に従う. これらの文書をよく読み, 本ドキュメントに関する権利と制限を確認すること. 本ドキュメントから抽出したコードコンポーネントには, Trust の法的条項のセクション 4.e に記載の Simplified BSD License 文を含めなければならず, Simplified BSD License に記載のとおり無保証で提供される.

Contents

• 1. Introduction (はじめに)
  • 1.1. Requirements Language (要件言語)
• 2. Terminology (用語)
  • 2.1. Request Object (リクエストオブジェクト)
  • 2.2. Request Object URI (リクエストオブジェクト URI)
• 3. Symbols and Abbreviated Terms (記号と略語)
• 4. Request Object (リクエストオブジェクト)
• 5. Authorization Request (認可リクエスト)
  • 5.1. Passing a Request Object by Value (値による転送)
  • 5.2. Passing a Request Object by Reference (参照による転送)
    • 5.2.1. URI Referencing the Request Object (リクエストオブジェクトを参照する URI)
    • 5.2.2. Request Using the "request_uri" Request Parameter ("request_uri" パラメータを用いるリクエスト)
    • 5.2.3. Authorization Server Fetches Request Object (認可サーバによる取得)
• 6. Validating JWT-Based Requests (JWT ベースのリクエストの検証)
  • 6.1. JWE Encrypted Request Object (JWE 暗号化リクエストオブジェクト)
  • 6.2. JWS-Signed Request Object (JWS 署名付きリクエストオブジェクト)
  • 6.3. Request Parameter Assembly and Validation (パラメータの組み立てと検証)
• 7. Authorization Server Response (認可サーバの応答)
• 8. TLS Requirements (TLS に関する要件)
• 9. IANA Considerations (IANA に関する考慮事項)
  • 9.1. OAuth Parameters Registration (OAuth パラメータ登録)
  • 9.2. OAuth Authorization Server Metadata Registry (認可サーバメタデータレジストリ)
  • 9.3. OAuth Dynamic Client Registration Metadata Registry (動的クライアント登録メタデータ)
  • 9.4. Media Type Registration (メディアタイプ登録)
    • 9.4.1. Registry Contents (レジストリ内容)
• 10. Security Considerations (セキュリティに関する考慮事項)
  • 10.1. Choice of Algorithms (アルゴリズムの選択)
  • 10.2. Request Source Authentication (リクエスト発信元の認証)
  • 10.3. Explicit Endpoints (明示的なエンドポイント)
  • 10.4. Risks Associated with request_uri (request_uri に関するリスク)
    • 10.4.1. DDoS Attack on the Authorization Server (認可サーバへの DDoS)
    • 10.4.2. Request URI Rewrite (リクエスト URI の書き換え)
  • 10.5. Downgrade Attack (ダウングレード攻撃)
  • 10.6. TLS Security Considerations (TLS のセキュリティ考慮)
  • 10.7. Parameter Mismatches (パラメータの不一致)
  • 10.8. Cross-JWT Confusion (JWT の混同)
• 11. Privacy Considerations (プライバシーに関する考慮事項)
  • 11.1. Collection Limitation (収集の限定)
  • 11.2. Disclosure Limitation (開示の限定)
    • 11.2.1. Request Disclosure (リクエストの開示)
    • 11.2.2. Tracking Using Request Object URI (URI による追跡)
• 12. References (参考文献)
  • 12.1. Normative References (規範参照)
  • 12.2. Informative References (参考資料)
• Acknowledgements (謝辞)
• Authors' Addresses (著者の連絡先)