OAuth Grant Type JWT Bearer Flow

Question

Мы работаем над сценарием использования, в котором нам необходимо использовать авторизацию с использованием OWuth Grant Type JWT Bearer Flow.

На высоком уровне мы знаем, что grantype (grant_type = urn: ietf:params: oauth: grant-type: jwt-bearer) должен быть передан вместе с утверждением jwt для получения токена доступа.

Вопросы:
1. Какой вариант использования подходит для этого типа гранта?

2. Кто бы создал утверждение jwt?Это что-то особенное, что должно быть реализовано на основе успешной аутентификации пользователя.

3. Какие проверки необходимо выполнить для утверждений JWT и токенов доступа?

Может кто-нибудь объяснить весь поток с образцом.

Answer 1

Этот поток типа предоставления может использоваться в следующих случаях:

1. JWT выдается самим клиентом: это требование iss (эмитент) и sub (субъект) обратитесь к идентификатору клиента.Поскольку субъект является клиентом, его можно сравнить с потоком типа предоставления учетных данных клиента.Это очень полезно для клиентов, которые не хотят предоставлять свои учетные данные.

2. JWT выпускается доверенной третьей стороной (которой доверяет сервер авторизации): в данном случае субъектэто может быть сам клиент, другой клиент или конечный пользователь.

В разделе 3 документа RFC7523 совершенно ясно изложены претензии для проверки:

• iss: эмитент токена (клиент или доверенная третья сторона)
• aud: должен содержать хотя бы сервер авторизации.Для случая 2. также должен содержать идентификатор клиента
• sub: субъект соответствует владельцу ресурса
• exp: время истечения
• Если присутствуетдругие претензии, такие как iat, nbf, jti или пользовательские претензии, должны быть проверены и поняты.
• Подпись JWT в зависимости от эмитента.