今日は (オンライン開催)OAuth & OIDC 勉強会 【アクセストークン編】 を受講。
リソースサーバー、認可サーバーという言葉を認証周りを作ってても使ってないのがよくないなー。
以下メモ。
- Authorization ヘッダーの Bearer にアクセストークンを設定
- RFC6750 より、アクセストークンが無効のときは WWW-authenticate ヘッダーでエラーを返す
- jti を認可サーバー側に保存
- 署名手続き
- 即時失効を諦めない限り内包型アクセストークンを採用する利点はほぼない
- Proof of Posession
- Push Authorization Request for OAuth 2.0
- 通称RAR
- 認可リクエストの詳細を事前登録可能
- 氏名などなど
途中から理解が追いつかなくなっていった。 ところで、トークンに含まれるユーザー属性情報群は、クレーム(claim) と呼ばれるけど、要求って意味が語源なのかな。