Как поделиться открытым ключом для проверки OAuth2 JWT?

Question

Как поделиться открытым ключом для проверки OAuth2 JWT?

Я реализую приложение, которое подключается к серверу OAuth2 и возвращает Json Web Token (JWT). Я передаю токен и хочу независимо проверить, что токен получен из источника выдачи.

Я могу сделать это, без проблем, с открытым ключом из источника выдачи. У меня есть это доступно мне сейчас. Все работает.

Но что если сервер OAuth изменит ключ подписи? Как проверяющее приложение получает новый ключ? Существует ли соглашение о "наилучшей практике" для совместного использования открытого ключа с сервера OAuth2? Мы только выставляем это от конечной точки на сервере аутентификации?

6

validation oauth-2.0 jwt public-key-encryption

Источник

user36687 05 май '15 в 23:14

1 ответ

Решение

Другие вопросы по тегам validation oauth-2.0 jwt public-key-encryption

user3748349 06 май '15 в 16:19 2015-05-06 16:19 · Accepted Answer · 2015-05-06 16:19

На сегодняшний день нет решения, стандартизированного как часть набора протоколов OAuth 2.0.

Считалось, что это проблема с одним доменом, которая может быть решена различными способами, которые считаются выходящими за рамки основных спецификаций OAuth (во многом аналогично тому, как API между Resource Server и Authorization Server есть / был), и так же, как и любой другой. Механизм на основе PKI в целом работает сегодня.

Но OpenID Connect - это междоменный протокол SSO, который был построен на основе OAuth 2.0, который также определил более стандартизированный вариант работы с распределением ключей в виде URI-адресов JWK как части Discover, см. jwks_uri запись в:

ТРЕБУЕТСЯ. URL-адрес документа OP JSON Web Key Set документа [JWK]. Он содержит ключ (ы) подписи, который RP использует для проверки подписей из OP. Набор JWK МОЖЕТ также содержать ключи шифрования Сервера, которые используются RP для шифрования запросов к Серверу. Когда ключи подписи и шифрования становятся доступными, значение параметра использования (Key Use) ОБЯЗАТЕЛЬНО требуется для всех ключей в указанном наборе JWK, чтобы указать предполагаемое использование каждого ключа. Хотя некоторые алгоритмы допускают использование одного и того же ключа как для подписи, так и для шифрования, это НЕ РЕКОМЕНДУЕТСЯ, поскольку это менее безопасно. Параметр JWK x5c МОЖЕТ использоваться для предоставления представленных ключей в X.509. При использовании значения открытого ключа ДОЛЖНЫ присутствовать и ДОЛЖНЫ совпадать со значениями в сертификате.

Это позволит раскрыть материал ключа по защищенному каналу HTTP, эффективно используя SSL CA для публикации и переноса материала ключа подписи JWT.

В какой-то момент jwks_uri определение может также быть частью стандартизированных расширений протокола OAuth 2.0, но сейчас вам придется полагаться на пользовательское соглашение между клиентом и сервером авторизации для этого. Это не может быть слишком сложно, чтобы реализовать себя, хотя.

Вам может повезти, если ваш Сервер авторизации также является поставщиком OpenID Connect и использует тот же материал ключа для подписи токенов ID, а также токенов доступа JWT.