10.2. Request Source Authentication (リクエスト発信元の認証)
10.2. Request Source Authentication (リクエスト発信元の認証)
認可リクエストの発信元は常に検証されなければならない. 方法はいくつかある:
(a) Request Object の JWS 署名を検証する.
(b) JWE が対称暗号を用いる場合, JWE 暗号化の対称鍵が正しいことを検証する. ただし公開鍵暗号を用いる場合, 誰でも公開鍵へ暗号化できるため, 暗号化自体は発信元認証を提供しない.
(c) Request Object URI の TLS サーバ身元を検証する. この場合, 認可サーバは帯域外でクライアントが Request Object URI を用い TLS 証明書がクライアントのみをカバーすることを知っていなければならない. 一般にこれは信頼性の高い方法ではない.
(d) 認可サーバが Request Object と引き換えに Request Object URI を返すサービスを実装する場合, Request Object を受け入れるためにクライアント認証を行い, 提供する Request Object URI にクライアント識別子を束縛しなければならない. (a) に従い署名を検証しなければならない. Request Object URI はリプレイされうるため, 生存期間は短く, 望ましくは一回限りの使用である. Request Object URI のエントロピーは十分大きくなければならない. 有効期間の適切な短さとエントロピーは保護対象の価値に基づくリスク計算に依存する. 一般的な指針として有効期間は 1 分未満, 本仕様執筆時点では Request Object URI に 128 ビット以上の暗号学的乱数を含めること.
(e) 信頼できる第三者サービスが Request Object と引き換えに Request Object URI を返す場合, (a) に従い署名を検証しなければならない. さらに認可サーバは第三者サービスに信頼され, かつ帯域外でクライアントも信頼されていることを知っていなければならない.