RFC 9068 - OAuth 2.0访问令牌的JWT配置文件

发布日期: 2021年10月
状态: 标准跟踪协议 (Standards Track)
作者: V. Bertocci (Auth0)

---

摘要 (Abstract)

本规范定义了OAuth 2.0访问令牌使用JSON Web Token (JWT) 格式的配置文件 (Profile). 来自不同供应商的授权服务器 (Authorization Server) 和资源服务器 (Resource Server) 可以利用此配置文件以可互操作的方式签发和使用访问令牌 (Access Token).

---

本备忘录的状态 (Status of This Memo)

本文档是互联网标准跟踪文档 (Internet Standards Track Document).

本文档是互联网工程任务组 (IETF) 的产品. 它代表了IETF社区的共识. 它已经接受了公开审查, 并已获得互联网工程指导组 (IESG) 的批准发布. 有关互联网标准的更多信息, 请参见RFC 7841第2节.

有关本文档当前状态, 任何勘误表以及如何提供反馈的信息, 可访问: https://www.rfc-editor.org/info/rfc9068.

---

目录 (Contents)

• 1. Introduction (简介)
  • 1.1 Requirements Notation and Conventions (需求符号和约定)
  • 1.2 Terminology (术语)
• 2. JWT Access Token Header and Data Structure (JWT访问令牌头部和数据结构)
  • 2.1 Header (头部)
  • 2.2 Data Structure (数据结构)
    • 2.2.1 Authentication Information Claims (认证信息声明)
    • 2.2.2 Identity Claims (身份声明)
    • 2.2.3 Authorization Claims (授权声明)
      • 2.2.3.1 Claims for Authorization Outside of Delegation Scenarios (委托场景之外的授权声明)
• 3. Requesting a JWT Access Token (请求JWT访问令牌)
• 4. Validating JWT Access Tokens (验证JWT访问令牌)
• 5. Security Considerations (安全考虑)
• 6. Privacy Considerations (隐私考虑)
• 7. IANA Considerations (IANA考虑)
  • 7.1 Media Type Registration (媒体类型注册)
    • 7.1.1 Registry Content (注册表内容)
  • 7.2 Claims Registration (声明注册)
    • 7.2.1 Registry Content (注册表内容)
      • 7.2.1.1 Roles (角色)
      • 7.2.1.2 Groups (组)
      • 7.2.1.3 Entitlements (权限)
• 8. References (参考文献)
  • 8.1 Normative References (规范性引用)
  • 8.2 Informative References (参考性引用)
• Acknowledgements (致谢)
• Author's Address (作者地址)

---

版权声明 (Copyright Notice)

Copyright (c) 2021 IETF Trust 及文档作者. 保留所有权利.

本文档受BCP 78和IETF信托关于IETF文档的法律规定 (https://trustee.ietf.org/license-info) 的约束, 这些规定在本文档发布之日有效. 请仔细阅读这些文档, 因为它们描述了您对本文档的权利和限制. 从本文档中提取的代码组件必须包含简化BSD许可证文本, 如信托法律规定第4.e节所述, 并且按照简化BSD许可证中所述不提供保证.

---

相关资源

• 官方原文: RFC 9068
• 官方页面: RFC 9068 DataTracker
• 勘误表: RFC Editor Errata