RFC 8693 OAUTH 2. 0 Exchange Token (از این پس "تبادل توکن") یک استاندارد فنی است که با ارائه یک نشانه موجود و اختیاری یکی دیگر از نشانه های موجود در نقطه پایانی توکن ، راهی برای به دست آوردن یک نشانه جدید تعریف می کند.

مشخصات بسیار انعطاف پذیر است. به بیان دیگر ، مشخصات جزئیاتی را که برای مبادله ایمن نشانه لازم است ، تعریف نمی کند. بنابراین ، برای اجرای مشخصات در یک سرور مجوز باید جزئیات بیشتری را در قسمت تعریف نشده در نظر بگیرید.

در این مقاله برخی از جزئیات کلیدی برای اجرای مشخصات تبادل توکن و پشتیبانی Authlete از این مشخصات شرح داده شده است.

مشخصات

نمودار زیر جریان تبادل توکن را نشان می دهد.

بخش های زیر انواع توکن و درخواست/پاسخ مبادله توکن را توضیح می دهد.

توکن

دو نوع نشانه ورودی وجود دارد. یک نشانه موضوعی و یک بازیگر.

موضوع

"موضوع موضوع" یک نشانه ورودی اجباری است. این "هویت حزب را به نمایندگی از آنها درخواست می کند."(گزیده ای از بخش 2. 1. درخواست RFC 8693)

مشخصات انتظار دارد که موضوع مشخص شده توسط نشانه موضوع به عنوان موضوع نشانه تازه صادر شده استفاده شود.

بازیگر

"بازیگر بازیگر" یک نشانه ورودی اختیاری است. این "هویت حزب بازیگری را نشان می دهد."(گزیده ای از بخش 2. 1. درخواست RFC 8693)

در صورت نیاز به متمایز کردن موضوع نشانه تازه صادر شده از حزب بازیگری که از این نشانه استفاده می کند ، اجرای سرور مجوز ممکن است از نشانه بازیگر استفاده کند و اطلاعات مربوط به حزب بازیگر را در نشانه قرار دهد. بخش 4. 1 و بخش 4. 4 RFC 8693 ادعاهای JWT مربوط به حزب بازیگری را تعریف کنید.

انواع توکن

به عنوان انواع احتمالی نشانه های فوق ، مشخصات انواع نشانه های زیر را لیست می کند و شناسه های نوع توکن را به آنها اختصاص می دهد. شناسه های انواع توکن در OAUTH URI از پارامترهای OAUTH IANA (مرجع شماره شماره های اینترنتی) ثبت شده است.

شناسه نوع توکن برای JWT در RFC 7519 Json Web Token (JWT) تعریف شده است. برخی دیگر در مبادله توکن RFC 8693 OAUTH 2. 0 تعریف شده اند.

درخواست تبادل توکن

درخواست مبادله توکن نوعی درخواست توکن است.

نوع کمک هزینه

برای تمایز درخواست های تبادل توکن از سایر درخواست های نشانه ، نوع جدید کمک هزینه URN: IETF: PARAMS: OAUTH: Grant-Type: Token-Exchange در مشخصات تعریف شده است. مقدار به عنوان مقدار پارامتر درخواست Grant_Type درخواست توکن استفاده می شود.

شناسایی و تأیید اعتبار مشتری

مشخصات نیازی به تأیید اعتبار مشتری و حتی شناسایی مشتری در نقطه پایانی توکن ندارد. بخش 2. 1. درخواست RFC 8693 آن را به شرح زیر بیان می کند.

روشهای پشتیبانی شده احراز هویت مشتری و اینکه آیا به مشتریان غیرمجاز یا ناشناس اجازه می دهند یا عدم تصمیم گیری در مورد استقرار هستند که به صلاحدید سرور مجوز هستند.

از نظر فنی ، "مشتری های غیرمجاز" به معنای مشتری های عمومی (به عنوان مثال RFC 6749 بخش 2. 1. انواع مشتری) و "مشتری های ناشناس" به این معنی است که یک درخواست توکن حاوی اطلاعاتی نیست که از طریق آن می توانید مشتری را شناسایی کنید.

اگرچه ضمیمه 1. 1 از RFC 8693 نمونه ای از درخواست مبادله توکن از مشتری ناشناس را نشان می دهد ، چنین مواردی فقط در شرایط محدود مانند یک شبکه بسته در یک سرویس مناسب است. در شرایط دیگر ، شما باید جزئیات بیشتری را که خارج از محدوده RFC 8693 است ، برای مبادله ایمن تعریف کنید.

درخواست پارامترها

جدول زیر پارامترهای مربوط به درخواست های تبادل توکن را نشان می دهد.

RFC 6749 چارچوب مجوز OAUTH 2. 0 "درخواست و پارامترهای پاسخ نباید بیش از یک بار درج شوند."پارامتر درخواست منابع و پارامتر درخواست مخاطب استثنائی است.

پاسخ تبادل توکن

پاسخ مبادله توکن نوعی پاسخ های نشانه است.

پارامترهای پاسخ

جدول زیر پارامترهای مربوط به پاسخ های تبادل توکن را نشان می دهد.

حمایت در Authlete

در این بخش پشتیبانی Authlete از مبادله توکن شرح داده شده است.

RFC 8693 توسط Authlete 2. 3 به بعد پشتیبانی می شود.

درخواست تبادل توکن

"عمل" ارزش پاسخ API /Auth /Token

با دریافت درخواست توکن از مشتری ، یک سرور مجوز محتوای درخواست را به API Authlete /Auth /Token به عنوان یکی از پارامترهای درخواست ارسال می کند. این API پاسخی را ارائه می دهد که در صورت برآورده شدن شرایط زیر شامل TOKEN_EXCHANGE به عنوان یک مقدار پارامتر عمل است:

• مقدار پارامتر درخواست Grant_Type درخواست توکن u است: IETF: Params: OAUTH: Grant-Type: Token-Exchange
• درخواست مراحل اساسی اعتبار سنجی را که در سمت سرور Authlete انجام می شود عبور می کند

در جدول زیر پارامترهای پاسخ مربوط به تبادل توکن در پاسخ از API /auth /token ذکر شده است.

اعتبار سنجی توکن

در مورد اعتبارسنجی روی نشانه های ورودی، مشخصات به شرح زیر است.

در پردازش درخواست، سرور مجوز باید رویه های اعتبارسنجی مناسب را برای نوع توکن نشان داده شده انجام دهد و در صورت وجود توکن کنشگر، رویه های اعتبارسنجی مناسب را برای نوع توکن مشخص شده خود نیز انجام دهد. معیارهای اعتبار و جزئیات هر توکن خاص خارج از حوصله این سند است و مختص نوع توکن مربوطه و محتوای آن است.

این بدان معنی است که یک سرور مجوز باید یک اعتبارسنجی مناسب را انجام دهد، اما RFC 8693 هیچ جزئیاتی را در مورد اعتبار سنجی رمز تعریف نمی کند و آنها را به اجرای سرور مجوز واگذار می کند. برای کاهش بار سرورهای مجوز، API /auth/token Authlete اعتبار سنجی زیر را انجام می دهد.

علاوه بر این ، Authlete اعتبار سنجی اضافی را بر روی نشانه های مشخص شده توسط پارامتر درخواست subject_token و پارامتر درخواست بازیگر طبق نوع توکن مربوطه همانطور که در زیر آمده است ، انجام می دهد.

نوع توکن: JWT

Authlete JWT رمزگذاری شده را تأیید نمی کند زیرا هیچ روش استانداردی برای به دست آوردن کلید رمزگشایی JWT با آن وجود ندارد. این بدان معنی است که شما باید یک JWT رمزگذاری شده توسط خودتان تأیید کنید که یکی از آنها به عنوان یک نشانه ورودی با نوع توکن استفاده می شود: IETF: PARAMS: OAUTH: TOKEN-TYPE: JWT (اگر TokenexChangeEncryptedJwtrejected از سرویس شما نادرست است). Authlete امضای JWT را تأیید نمی کند زیرا هیچ روش استانداردی برای به دست آوردن کلید برای تأیید امضای JWT با آن وجود ندارد. این بدان معنی است که شما باید هنگام استفاده از JWT امضا شده به عنوان یک نشانه ورودی با نوع توکن ، امضا را تأیید کنید: IETF: Params: OAUTH: TOKEN-TYPE: JWT.

نوع توکن: به نشانه دسترسی

مراحل اعتبار سنجی فوق حاکی از آن است که نشانه های دسترسی صادر شده توسط سیستم های دیگر نمی توانند به عنوان یک نشانه موضوعی یا یک بازیگر با نوع توکن استفاده شوند: IETF: Params: OAUTH: TOKEN-TYPE: ACCESS_TOKEN. Authlete ممکن است گزینه پیکربندی را برای غیرفعال کردن مراحل اعتبار سنجی در آینده فراهم کند ، اما در زمان این نوشتار برنامه ریزی نشده است.

نوع توکن: توکن را تازه کنید

مراحل اعتبار سنجی فوق حاکی از آن است که نشانه های تازه ای که توسط سیستم های دیگر صادر می شود ، نمی توانند به عنوان یک نشانه موضوعی یا یک بازیگر با نوع توکن استفاده شوند: IETF: Params: OAUTH: TOKEN-TYPE: refresh_token. Authlete ممکن است گزینه پیکربندی را برای غیرفعال کردن مراحل اعتبار سنجی در آینده فراهم کند ، اما در زمان این نوشتار برنامه ریزی نشده است.

نوع توکن: ID Token

Authlete یک نشانه شناسه رمزگذاری شده را تأیید نمی کند زیرا هیچ روش استاندارد برای به دست آوردن کلید رمزگشایی نشانه شناسه در متن مبادله توکن وجود ندارد که در آن شناسه مشتری برای رمزگذاری رمزگذاری شده قابل تعیین نیست. این بدان معنی است که شما باید یک نشانه رمزگذاری شده رمزگذاری شده توسط خودتان تأیید کنید که یکی از آنها به عنوان یک نشانه ورودی با نوع توکن استفاده می شود: IETF: PARAMS: OAUTH: TOKEN-TYPE: ID_TOKEN (اگر TokenexChangeEncryptedJwtreded از سرویس شما نادرست باشد). مرحله 10 اعتبار سنجی در بالا دلالت بر این دارد که نشانه های شناسه که الگوریتم امضای آنها متقارن است (HS256 ، HS384 یا HS512) نمی تواند به عنوان یک نشانه موضوع یا یک بازیگر بازیگر با نوع توکن استفاده شود: IETF: PARMS: OAUTH: TOKEN TYPE: ID_TOKENKOKEN. به این دلیل است که کلید متقارن برای تأیید امضای با (یعنی راز مشتری) نمی تواند در زمینه مبادله توکن تعیین شود. تأیید امضای حتی در مواردی که صادرکننده توکن شناسه خدمات شما نیست ، انجام می شود. اما در این حالت ، صادرکننده باید از نقطه پایانی کشف تعریف شده در OpenID Connect Discovery 1. 0 پشتیبانی کند. در غیر این صورت ، تأیید امضای انجام نمی شود.

نوع توکن: SAML 1. 1 ادعا

نوع توکن: ادعای SAML 2. 0

پاسخ تبادل توکن

/auth/token/ایجاد api

سرور مجوز اعتبار سنجی لازم را بر اساس پاسخ API /auth /token انجام می دهد تا مشخص شود چه نوع نشانه ای صادر می شود و پاسخ مبادله ای را به مشتری می دهد.

این سرور با مشخص کردن Token_Exchange به عنوان مقدار GrantType ، که یکی از پارامترهای درخواست API است ، از Authlete's/Auth/Token/Create API استفاده می کند.

موارد پیکربندی مرتبط

همانطور که قبلاً نیز گفته شد ، شما باید جزئیاتی را که خارج از محدوده RFC 8693 است ، تعریف کنید تا مبادله توکن ایمن باشد. برای این منظور ، Authlete گزینه های پیکربندی زیر را ارائه می دهد تا بتوانید از آنها برای ساختن یک سرور مجوز با Authlete استفاده کنید.

پیکربندی خدمات

پیکربندی پسوند مشتری

مثال ها

اجرای سرور مجوز

پردازش عمل token_exchange

اجرای سرور مجوز باید برای پشتیبانی از مبادله توکن ، اقدامات token_exchange را پردازش کند. بیانیه سوئیچ زیر گزیده ای از TokenRequestHandler. java در کتابخانه Authlete-Java-Jaxrs نمونه ای از پردازش عمل token_exchange است. عبارت سوئیچ دارای یک پرونده برای token_exchange است.

// اعزام مطابق عمل.  تعویض (عمل)   موردINVALID_CLIENT:  // 401 غیرمجاز  برگشتپاسخ.غیرمجاز(محتوا,چالش);   موردinte_server_error:  // 500 خطای سرور داخلی  برگشتپاسخ.intealservererror(محتوا);   مورددرخواست بد:  // 400 درخواست بد  برگشتپاسخ.درخواست بد(محتوا);   موردکلمه عبور:  // درخواست توکن را که جریان آن "اعتبار رمز عبور صاحب منبع" است ، پردازش کنید.  برگشتکلمه کلیدی(واکنش);   موردخوب:  // 200 خوب  برگشتپاسخ.ok(محتوا);   موردtoken_exchange:  // پردازش درخواست تبادل توکن (RFC 8693)  برگشتHandletokenexchange(واکنش);   موردjwt_bearer:  // درخواست توکن را که از نوع کمک هزینه استفاده می کند پردازش کنید  // URN: IETF: PARAMS: OAUTH: Grant-Type: JWT-Bearer (RFC 7523).  برگشتHandleJwtbearer(واکنش);   پیش فرض:  // این هرگز اتفاق نمی افتد.  پرت كردنگیره دار().ناشناخته("/api/auth/token",عمل); > 

پردازش درخواست های تبادل توکن

TokenexChanger. Java در Java-Oauth-Server ، یک نمونه منبع باز از سرور مجوز که در جاوا نوشته شده است ، یک نمونه اجرای پردازش درخواست تبادل توکن است.

توجه داشته باشید که اجرای فقط یک نمونه است و برای استفاده از تولید در نظر گرفته نشده است.

مثال درخواست و پاسخ

1. یک نشانه شناسه را به نوعی یا دیگری تهیه کنید.

$ id_token=2. درخواست مبادله توکن را ایجاد کنید. 

$ curl http: // localhost: 8080/api/toke n-d grant_type

URN: IETF: Params: OAUTH: Grant-Type: Token-Exchang e-d Subject_Token=$ id_toke n-d subject_token_type=u: ietf: params: oauth: toke n-type: id_toke n-d client_id=دامنه D=5908895171پست الکترونیک=3. پاسخ مبادله توکن را دریافت کنید. 

"نشانه دسترسی"

  "nedl-q9efoi4s5xzameimxaxvqs139jm9dtyeluad5o":"صادر شده_ token_type",  "u: ietf: params: oauth: token-type: access_token":"token_type",  "تحمل":"منقضی می شود",  "محدوده":86400,  "پست الکترونیک":"Refresh_token",  "PK9F5OWIRX58_XWRE_SPCLLN-BM673LJLITSFFJQWAO": >