暗号化した ID トークンの生成

はじめに
JWK セットの準備・登録
ID トークンの暗号化設定
ID トークンの復号

はじめに

本記事では、暗号化した ID トークンを生成するための設定例を示します。

JWK セットの準備・登録

ID トークンの暗号化に用いる、クライアントの JWK セットを準備・登録します。手順については以下の記事をご参照ください。

OAuth / OIDC クライアントの JWK セット設定

本例では以下の JWK セットを登録します。

{
    "keys": [
        {
            "kty": "EC",
            "use": "enc",
            "crv": "P-256",
            "kid": "_agec7UaYVN4c3RZQJQhUuR6nFSnqEXywv3QaIfFRFk",
            "x": "ilLNQ-Lcp_t5DBs9puJVI3JhwqlMndTILjkBrNd3Dsc",
            "y": "3Uy7NIHilkOWviGXMRIl2ZUE4L7Mc8ub4VhosE3l8t8"
        }
    ]
}

ID トークンの暗号化設定

クライアントに対する ID トークンの暗号化アルゴリズムを選択します。詳細については「クライアントの設定項目 - ID トークン」をご参照ください。ここでは、先に登録した公開鍵に従い、以下の通り設定します。

項目	値
ID トークンのキー暗号化アルゴリズム	ECDH_ES
ID トークンの本文暗号化アルゴリズム	A128CBC_HS256

ID トークンの暗号化設定

以上の設定により Authlete は、このクライアントに提供する ID トークンについて、暗号化を行うようになります。以下は暗号化された値の例です。

eyJlcGsiOnsia3R5IjoiRUMiLCJjcnYiOiJQLTI1NiIsIngiOiJDeVU3XzdMNlRaeHdmZzhBNkRUNUxMSz
1ZWlBSE1yTzJyYWt5WEY0TUFZIiwieSI6InZ6MkJZd1k1WmJFUkV2OGxTcWNuREpQVkdQMExyWXpUS2NiZUR2aTVKQlUifSw
ia2lkIjoiX2FnZWM3VWFZVk40YzNSWlFKUWhVdVI2bkZTbnFFWHl3djNRYUlmRlJGayIsImVuYyI6IkExMjhDQkMtSFMyNTY
iLCJhbGciOiJFQ0RILUVTIn0..e9rmLbmTkuaUL7AdUB9umw.-o4aia0O6FUarqN3Owssu6ko4v9YqjMJXm00Sj-w7oH7YjmgZDR
j7omoXSnmU19wYFhC70yzv8U2B0pXNxLqVZOv4vQchwslP6Ms55cmgvenCHcIbsXFirb8we-6Z0EfKiKmLCy0NU8kFE0fQ-6y9
n91WI9hGPVbw968FtA2y7x2JXGv93nPryshCp4HJz2HXQeb5F18RSsCAkY5nE7-GqD81DnmG6-rdVoOBAGM7LK_lc8gIhSozmNn7
8cFtfQrNn6S0VFWM2e8SyukQtdGk3um3mZAjRdDNtsACkztQJo.5S7YimrpLKuWnRM0hwdJzweyJlcGsiOnsia3R5IjoiRUMiLCJj
cnYiOiJQLTI1NiIsIngiOiIzUHNVT0lj

ID トークンの復号

上記の ID トークンを取得したクライアントは、自身の秘密鍵を用いて復号を行います。以下は復号に用いる JWK セットの例です。

{
    "Keys": [
        {
            "kty": "EC",
            "d": "4AEnTq3H8gcIutIoJCCZuv9GgWdKRaoJIXQkdM8r0UA",
            "use": "enc",
            "crv": "P-256",
            "kid": "_agec7UaYVN4c3RZQJQhUuR6nFSnqEXywv3QaIfFRFk",
            "x": "ilLNQ-Lcp_t5DBs9puJVI3JhwqlMndTILjkBrNd3Dsc",
            "y": "3Uy7NIHilkOWviGXMRIl2ZUE4L7Mc8ub4VhosE3l8t8",
            "typ": "ECDH_ES"
        }
    ]
}

以下は José を用いて復号し、ペイロードを抽出する例です。

jose jwe dec -i <ID token> -k <JWK set> \
| cut -d"." -f2 \
| base64 --decode \
| jq

{
  "sub": "testuser01",
  "aud": [
      "17201083166161"
  ],
  "iss": "https://authlete.com",
  "exp": 1595921860,
  "iat": 1595835460
}

ID トークンの署名鍵の変更 response_type に id_token が含まれている場合の注意点

認可リクエスト

トークン発行とフォーマット

トークンライフサイクルとポリシー

トークンイントロスペクションと検証

アイデンティティエンドポイント

検証可能なクレデンシャル

スコープと同意

クライアント認証

クライアント管理

エラー処理とデバッグ

セキュリティ

暗号化した ID トークンの生成

はじめに

JWK セットの準備・登録

ID トークンの暗号化設定

ID トークンの復号

認可リクエスト

トークン発行とフォーマット

トークンライフサイクルとポリシー

トークンイントロスペクションと検証

アイデンティティエンドポイント

検証可能なクレデンシャル

スコープと同意

クライアント認証

クライアント管理

エラー処理とデバッグ

セキュリティ

​はじめに

​JWK セットの準備・登録

​ID トークンの暗号化設定

​ID トークンの復号

はじめに

JWK セットの準備・登録

ID トークンの暗号化設定

ID トークンの復号