JSON Web Token (JWT)
JSON Web Token (JWT) Abstract JSON Web Token (JWT) is a compact, URL-safe means of representing claims to be transferred between two parties. The claims in a JWT are encoded as a JSON object that is used as the payload of a JSON Web Signature (JWS) structure or as the plaintext of a JSON Web Encryption (JWE) structure, enabling the claims to be digitally signed or integrity protected with a Messag
情報セキュリティ技術動向調査(2011 年上期):IPA 独立行政法人 情報処理推進機構
Web 2.0との潮流の中で、Webアプリケーションを開発する際に、いわゆる「マッシュアップ」が卑近に行われるようになってきている。「マッシュアップ」という用語は、音楽DJが複数の楽曲を組み合わせて新たな音楽を創造する過程になぞらえて、ソフトウェアをAPI呼び出しによって組み合わせて構成することを表現するようになっている。このような「マッシュアップ」を行う際のセキュリティに関する論点を扱うWGが、インターネットの標準化団体:IETF(Internet Engineering Task-Force)において発足しており、Websec WGという。 また、アイデンティティ管理技術を構成する専用のプロトコル(OAuth 2.0等)において、時流を反映してJavaScriptで書くJWT(Json Web Token)を用いるクレデンシャル仕様が規定されるようになってきている。 本稿においては、今
情報セキュリティ技術動向調査(2011 年下期):IPA 独立行政法人 情報処理推進機構
OpenID 2.0 は実装を容易にするために、ユースケースを「OpenIDプロバイダのID情報を用いた、RPへのログイン/属性提供」に限定した仕様となっている。その結果、以下のような要件を満たすことは、仕様の範囲内では容易ではない(図2)。 機能の制限された Web ブラウザへの対応 OpenID 2.0 では、ユーザ・エージェントとして一般的なWebブラウザを対象としており、ある程度大きなURL長を処理する能力や、リダイレクト機能などを有する必要がある。そのため、携帯端末などのように機能が制限された環境のWebブラウザでは、OpenID 2.0 プロトコルを処理できない場合がある。 セキュリティ要件への対応 OpenID 2.0 プロトコルでは、Web サイト間でのID情報の要求(認証リクエスト)ならびにその提供(アサーション)は、Webブラウザのリダイレクト機能を用いて、平文のメッセ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
