RFC 9449 - OAuth 2.0 演示所有权证明 (DPoP)

• 状态: Proposed Standard
• 发布日期: September 2023
• Stream: IETF
• 勘误: 无勘误

---

摘要

本文档描述了一种通过应用层的所有权证明 (proof-of-possession) 机制对 OAuth 2.0 令牌进行发送者约束 (sender-constraining) 的机制, 该机制允许检测访问令牌和刷新令牌的重放攻击.

---

本备忘录的状态

本文档属于 Internet 标准跟踪文档.

本文档是 Internet 工程任务组 (IETF) 的产物. 它代表了 IETF 社区的共识. 它已接受公众审查, 并已被 Internet 工程指导小组 (IESG) 批准发布. 有关 Internet 标准的更多信息, 请参见 RFC 7841 的第 2 节.

有关本文档当前状态的信息, 任何勘误表以及如何提供反馈, 请访问 https://www.rfc-editor.org/info/rfc9449.

---

版权声明

版权所有 (c) 2023 IETF 信托和被确认为文档作者的人员. 保留所有权利.

本文档受 BCP 78 和 IETF 信托关于 IETF 文档的法律规定 (https://trustee.ietf.org/license-info) 的约束, 该规定在本文档发布之日生效. 请仔细阅读这些文件, 因为它们描述了您对本文档的权利和限制. 从本文档中提取的代码组件必须包含信托法律条款第 4.e 节中所述的修订版 BSD 许可文本, 并且在不提供担保的情况下按修订版 BSD 许可中所述提供.

---

Contents

• 1. Introduction (简介)
  • 1.1. Conventions and Terminology (约定和术语)
• 2. Objectives (目标)
• 3. Concept (概念)
• 4. DPoP Proof JWTs (DPoP 证明 JWT)
  • 4.1. The DPoP HTTP Header (DPoP HTTP 头部)
  • 4.2. DPoP Proof JWT Syntax (DPoP 证明 JWT 语法)
  • 4.3. Checking DPoP Proofs (检查 DPoP 证明)
• 5. DPoP Access Token Request (DPoP 访问令牌请求)
  • 5.1. Authorization Server Metadata (授权服务器元数据)
  • 5.2. Client Registration Metadata (客户端注册元数据)
• 6. Public Key Confirmation (公钥确认)
  • 6.1. JWK Thumbprint Confirmation Method (JWK 指纹确认方法)
  • 6.2. JWK Thumbprint Confirmation Method in Token Introspection (令牌内省中的 JWK 指纹确认方法)
• 7. Protected Resource Access (受保护资源访问)
  • 7.1. The DPoP Authentication Scheme (DPoP 身份验证方案)
  • 7.2. Compatibility with the Bearer Authentication Scheme (与 Bearer 身份验证方案的兼容性)
  • 7.3. Client Considerations (客户端注意事项)
• 8. Authorization Server-Provided Nonce (授权服务器提供的 Nonce)
  • 8.1. Nonce Syntax (Nonce 语法)
  • 8.2. Providing a New Nonce Value (提供新的 Nonce 值)
• 9. Resource Server-Provided Nonce (资源服务器提供的 Nonce)
• 10. Authorization Code Binding to a DPoP Key (授权码与 DPoP 密钥的绑定)
  • 10.1. DPoP with Pushed Authorization Requests (DPoP 与推送授权请求)
• 11. Security Considerations (安全考虑)
  • 11.1. DPoP Proof Replay (DPoP 证明重放)
  • 11.2. DPoP Proof Pre-generation (DPoP 证明预生成)
  • 11.3. DPoP Nonce Downgrade (DPoP Nonce 降级)
  • 11.4. Untrusted Code in the Client Context (客户端上下文中的不可信代码)
  • 11.5. Signed JWT Swapping (签名 JWT 交换)
  • 11.6. Signature Algorithms (签名算法)
  • 11.7. Request Integrity (请求完整性)
  • 11.8. Access Token and Public Key Binding (访问令牌和公钥绑定)
  • 11.9. Authorization Code and Public Key Binding (授权码和公钥绑定)
  • 11.10. Hash Algorithm Agility (哈希算法敏捷性)
  • 11.11. Binding to Client Identity (绑定到客户端身份)
• 12. IANA Considerations (IANA 考虑)
  • 12.1. OAuth Access Token Types Registration
  • 12.2. OAuth Extensions Error Registration
  • 12.3. OAuth Parameters Registration
  • 12.4. HTTP Authentication Schemes Registration
  • 12.5. Media Type Registration
  • 12.6. JWT Confirmation Methods Registration
  • 12.7. JSON Web Token Claims Registration
  • 12.8. Hypertext Transfer Protocol (HTTP) Field Name Registration
  • 12.9. OAuth Authorization Server Metadata Registration
  • 12.10. OAuth Dynamic Client Registration Metadata
• 13. References (参考文献)
  • 13.1. Normative References (规范性参考文献)
  • 13.2. Informative References (资料性参考文献)
• Acknowledgements (致谢)
• Authors' Addresses (作者地址)

---

相关资源

• 正式文本: RFC 9449 (TXT)
• 官方页面: RFC 9449 DataTracker
• 信息页: RFC Editor Info