oAuthとMTLSのまとめ

フィンガープリント(Finger print)

  • 電子メールの内容やデジタル証明書などが改ざんされていないことを証明するデータのこと
  • やりかた:クライアントとリソースサーバ間のTLSコネクション内の証明書と、アクセストークンが一致しているかで、改ざんを判断

OAuth

  • 以前記載したのでさらっとかくと、認可サーバからアクセストークンをもらって、リソースサーバに接続

MTLS

  • 認可サーバから証明書をもらって、リソースサーバ側とクライアント側の両方で、証明書を元に接続先確認をお互い(MultiTLS)にする
  • OAuth 2.0 Mutual TLS Client Authentication and Certificate Bound Access Tokens
  • Mutual TLS というと、単に「TLS 通信時にクライアント側も証明書を提示する」ことを意味

PKCE(ピケシー)

  • 認可コードを悪いクライアントに奪われても、認可フロー時に生成したcode_challengeキーを保持
  • それをしないとアクセスできないような仕組みを作ってます。

POPトークン仕様

  • 所有照明

TLSトークバインディング

  • TLSで保護された中で、Tokenを、Client上の非対称キー・ペアにバインドする

JWT検証のパターン

  • シグニチャの検証(シグニチャの作成の反対)
  • フィンガープリント検証(前述済)
  • クレイムの検証(各種JWTキーの検証)