OAuth 2.0 Mutual-TLS Client Authentication and Certificate-Bound Access Tokens (OAuth 2.0 双向 TLS 客户端认证与证书绑定访问令牌)

• 状态: Proposed Standard
• 发布日期: February 2020
• Stream: IETF
• 勘误: 无勘误

---

Document Information (文档信息)

• RFC Number (RFC 编号): 8705
• Title (标题): OAuth 2.0 Mutual-TLS Client Authentication and Certificate-Bound Access Tokens
• Authors (作者): B. Campbell (Ping Identity), J. Bradley (Yubico), N. Sakimura (Nomura Research Institute), T. Lodderstedt (YES.com AG)
• Date (日期): February 2020 (2020 年 2 月)
• Category (类别): Standards Track (标准跟踪)
• Updates (更新): None (无)
• Obsoletes (废弃): None (无)

Abstract (摘要)

本文档描述如何使用基于 X.509 证书的 mutual Transport Layer Security (传输层安全双向认证, mutual TLS) 实现 OAuth 客户端认证, 以及证书绑定的 access token (访问令牌) 与 refresh token (刷新令牌). 为 OAuth 客户端提供一种基于 mutual TLS 向 authorization server (授权服务器) 进行认证的机制, 可采用 self-signed certificate (自签名证书) 或 public key infrastructure (公钥基础设施, PKI). 为 OAuth authorization server 提供将 access token 绑定到客户端 mutual-TLS 证书的机制, 并为 OAuth protected resource (受保护资源) 提供方法, 确保向其出示的 access token 是颁发给正在出示该令牌的客户端的.

Status of This Memo (本备忘录状态)

本文档属于 Internet Standards Track (互联网标准跟踪).

本文档是 Internet Engineering Task Force (IETF, 互联网工程任务组) 的产物, 代表 IETF 社区的共识. 它经过公开评审, 并已由 Internet Engineering Steering Group (IESG, 互联网工程指导组) 批准发布. 关于 Internet Standards 的更多信息见 RFC 7841 第 2 节.

关于本文档当前状态, 任何勘误以及如何提供反馈的信息, 可在 https://www.rfc-editor.org/info/rfc8705 获取.

Copyright Notice (版权声明)

Copyright (c) 2020 IETF Trust 及文中所列文档作者. 保留所有权利.

本文档受 BCP 78 和 IETF Trust 关于 IETF 文档的法律条款 (https://trustee.ietf.org/license-info) 约束, 以本文档发布之日有效的版本为准. 请仔细阅读这些文档, 因为它们描述您对本文档的权利与限制. 从本文档提取的 Code Components (代码组件) 必须包含 Trust Legal Provisions 第 4.e 节所述的 Simplified BSD License (简化 BSD 许可证) 文本, 并按该许可证说明不提供担保.

Contents

• 1. Introduction (简介)
  • 1.1. Requirements Notation and Conventions (要求记号与约定)
  • 1.2. Terminology (术语)
• 2. Mutual TLS for OAuth Client Authentication (用于 OAuth 客户端认证的 Mutual TLS)
  • 2.1. PKI Mutual-TLS Method (PKI mutual-TLS 方法)
    • 2.1.1. PKI Method Metadata Value (PKI 方法元数据值)
    • 2.1.2. Client Registration Metadata (客户端注册元数据)
  • 2.2. Self-Signed Certificate Mutual-TLS Method (自签名证书 mutual-TLS 方法)
    • 2.2.1. Self-Signed Method Metadata Value (自签名方法元数据值)
    • 2.2.2. Client Registration Metadata (客户端注册元数据)
• 3. Mutual-TLS Client Certificate-Bound Access Tokens (Mutual-TLS 客户端证书绑定访问令牌)
  • 3.1. JWT Certificate Thumbprint Confirmation Method (JWT 证书指纹确认方法)
  • 3.2. Confirmation Method for Token Introspection (令牌内省的确认方法)
  • 3.3. Authorization Server Metadata (授权服务器元数据)
  • 3.4. Client Registration Metadata (客户端注册元数据)
• 4. Public Clients and Certificate-Bound Tokens (公共客户端与证书绑定令牌)
• 5. Metadata for Mutual-TLS Endpoint Aliases (Mutual-TLS 端点别名的元数据)
• 6. Implementation Considerations (实现考量)
  • 6.1. Authorization Server (授权服务器)
  • 6.2. Resource Server (资源服务器)
  • 6.3. Certificate Expiration and Bound Access Tokens (证书过期与绑定访问令牌)
  • 6.4. Implicit Grant Unsupported (隐式授权不支持)
  • 6.5. TLS Termination (TLS 终结)
• 7. Security Considerations (安全考量)
  • 7.1. Certificate-Bound Refresh Tokens (证书绑定刷新令牌)
  • 7.2. Certificate Thumbprint Binding (证书指纹绑定)
  • 7.3. TLS Versions and Best Practices (TLS 版本与最佳实践)
  • 7.4. X.509 Certificate Spoofing (X.509 证书欺骗)
  • 7.5. X.509 Certificate Parsing and Validation Complexity (X.509 证书解析与验证复杂性)
• 8. Privacy Considerations (隐私考量)
• 9. IANA Considerations (IANA 考量)
  • 9.1. JWT Confirmation Methods Registration (JWT 确认方法注册)
  • 9.2. Authorization Server Metadata Registration (授权服务器元数据注册)
  • 9.3. Token Endpoint Authentication Method Registration (令牌端点认证方法注册)
  • 9.4. Token Introspection Response Registration (令牌内省响应注册)
  • 9.5. Dynamic Client Registration Metadata Registration (动态客户端注册元数据注册)
• 10. References (参考文献)
  • 10.1. Normative References (规范性参考文献)
  • 10.2. Informative References (信息性参考文献)
• Appendix A. Example "cnf" Claim, Certificate, and JWK (附录 A. "cnf" 声明, 证书与 JWK 示例)
• Appendix B. Relationship to Token Binding (附录 B. 与 Token Binding 的关系)
• Acknowledgements (致谢)
• Authors' Addresses (作者地址)