メインコンテンツへスキップ
プロトコル・技術

JAR

JWT-Secured Authorization Request

OAuth 2.0の認可要求パラメータをJWTへ格納し、署名または暗号化によって完全性、送信元確認、機密性を与える標準。

ブラウザを経由する認可要求のパラメータが書き換えられるリスクを下げます。署名アルゴリズム、issuer、audience、有効期限を検証し、Request Objectを通常のJWTと同じ感覚で無条件に信頼しないことが重要です。

  • 認可要求をRequest ObjectとしてJWTへ格納する
  • 署名で改ざんと送信元を検証できる
  • 暗号化する場合も署名とクレーム検証が必要

よくある質問

JARとは?

OAuth 2.0の認可要求パラメータをJWTへ格納し、署名または暗号化によって完全性、送信元確認、機密性を与える標準。

JARについて詳しく知るには?

ブラウザを経由する認可要求のパラメータが書き換えられるリスクを下げます。署名アルゴリズム、issuer、audience、有効期限を検証し、Request Objectを通常のJWTと同じ感覚で無条件に信頼しないことが重要です。

JARのポイントは?

認可要求をRequest ObjectとしてJWTへ格納する 署名で改ざんと送信元を検証できる 暗号化する場合も署名とクレーム検証が必要

← 用語集一覧に戻る
ESC