OAuth 2.0 授权框架: 采用 JWT 保护的授权请求 (JAR)

• 状态: Proposed Standard
• 发布日期: August 2021
• Stream: IETF
• 勘误: 无勘误

---

文档信息

• RFC 编号: 9101
• 标题: OAuth 2.0 授权框架: 采用 JWT 保护的授权请求 (JAR)
• 作者: N. Sakimura (NAT.Consulting), J. Bradley (Yubico), M. Jones (Microsoft)
• 日期: 2021 年 8 月
• 类别: Standards Track (标准轨道)

摘要

RFC 6749 中描述的 OAuth 2.0 授权请求采用查询参数序列化, 即授权请求参数编码在请求的 URI 中, 并通过 Web 浏览器等用户代理发送. 虽然易于实现, 但意味着: a) 经用户代理的通信缺乏完整性保护, 因而参数可能被篡改; b) 通信来源未经身份认证; c) 经用户代理的通信可被监视. 由于这些弱点, 现已出现多种针对该协议的攻击.

本文档引入以 JSON Web Token (JWT) [RFC7519] 承载请求参数的能力, 从而可使用 JSON Web Signature (JWS) 对请求签名, 并使用 JSON Web Encryption (JWE) 加密, 以获得授权请求的完整性, 来源认证与机密性. 请求可按值传递或按引用传递.

本备忘录状态

本文档为 Internet Standards Track 文档.

本文档是 Internet Engineering Task Force (IETF) 的工作成果, 代表 IETF 社区的共识. 本文档经过公开审阅, 并已由 Internet Engineering Steering Group (IESG) 批准发布. 关于 Internet Standards 的更多信息见 RFC 7841 第 2 节.

关于本文档当前状态, 勘误以及如何提供反馈的信息, 见 https://www.rfc-editor.org/info/rfc9101.

版权声明

Copyright (c) 2021 IETF Trust 及文档署名作者. 保留所有权利.

本文档受 BCP 78 及 IETF Trust 与 IETF 文档相关的法律条款约束 (https://trustee.ietf.org/license-info), 以本文档发布日期生效版本为准. 请仔细阅读上述文档, 其中说明了您就本文档享有的权利与受到的限制. 从本文档摘录的代码组件必须包含 Trust 法律条款第 4.e 节所述的 Simplified BSD License 文本, 且按 Simplified BSD License 所述不提供担保.

Contents

• 1. Introduction (简介)
  • 1.1. Requirements Language (规范性用语)
• 2. Terminology (术语)
  • 2.1. Request Object (请求对象)
  • 2.2. Request Object URI (请求对象 URI)
• 3. Symbols and Abbreviated Terms (符号与缩略语)
• 4. Request Object (请求对象)
• 5. Authorization Request (授权请求)
  • 5.1. Passing a Request Object by Value (按值传递请求对象)
  • 5.2. Passing a Request Object by Reference (按引用传递请求对象)
    • 5.2.1. URI Referencing the Request Object (引用请求对象的 URI)
    • 5.2.2. Request Using the "request_uri" Request Parameter (使用 "request_uri" 请求参数)
    • 5.2.3. Authorization Server Fetches Request Object (授权服务器获取请求对象)
• 6. Validating JWT-Based Requests (校验基于 JWT 的请求)
  • 6.1. JWE Encrypted Request Object (经 JWE 加密的请求对象)
  • 6.2. JWS-Signed Request Object (经 JWS 签名的请求对象)
  • 6.3. Request Parameter Assembly and Validation (请求参数组装与校验)
• 7. Authorization Server Response (授权服务器响应)
• 8. TLS Requirements (TLS 要求)
• 9. IANA Considerations (IANA 考量)
  • 9.1. OAuth Parameters Registration (OAuth 参数注册)
  • 9.2. OAuth Authorization Server Metadata Registry (OAuth 授权服务器元数据注册表)
  • 9.3. OAuth Dynamic Client Registration Metadata Registry (OAuth 动态客户端注册元数据注册表)
  • 9.4. Media Type Registration (媒体类型注册)
    • 9.4.1. Registry Contents (注册表内容)
• 10. Security Considerations (安全考量)
  • 10.1. Choice of Algorithms (算法选择)
  • 10.2. Request Source Authentication (请求来源认证)
  • 10.3. Explicit Endpoints (显式端点)
  • 10.4. Risks Associated with request_uri (与 request_uri 相关的风险)
    • 10.4.1. DDoS Attack on the Authorization Server (针对授权服务器的 DDoS 攻击)
    • 10.4.2. Request URI Rewrite (请求 URI 重写)
  • 10.5. Downgrade Attack (降级攻击)
  • 10.6. TLS Security Considerations (TLS 安全考量)
  • 10.7. Parameter Mismatches (参数不一致)
  • 10.8. Cross-JWT Confusion (跨 JWT 混淆)
• 11. Privacy Considerations (隐私考量)
  • 11.1. Collection Limitation (收集限制)
  • 11.2. Disclosure Limitation (披露限制)
    • 11.2.1. Request Disclosure (请求披露)
    • 11.2.2. Tracking Using Request Object URI (利用请求对象 URI 进行跟踪)
• 12. References (参考文献)
  • 12.1. Normative References (规范性参考文献)
  • 12.2. Informative References (资料性参考文献)
• Acknowledgements (致谢)
• Authors' Addresses (作者地址)