JSON Web Encryption (JWE) を設定する

Highly Regulated Identity 機能を使用するには、Highly Regulated Identity Add-on を含む Enterprise Plan が必要です。詳しくは、Auth0 Pricing を参照してください。

デフォルトでは、Auth0 は署名付きの JSON Web Token (JWT) 形式のを発行します。これは完全性は保護される一方で、クライアントやその他の中間者が内容を確認できることを意味します。そのため、のみに公開されることを想定したデータの秘匿性が損なわれる可能性があります。アクセストークンの不正な閲覧を防ぐため、Auth0 はネストされたアクセストークンをサポートしています。これは、アクセス情報を JWT で署名した後に暗号化し、JSON Web Encryption (JWE) として表現するものです。リソースサーバーは、これらのアクセストークンを復号し、JWT ペイロードの署名も検証することが想定されています。一方で、その情報は他の当事者に対しては不透明です。

RSAキーペアを生成する

API で JWE を使用するよう設定する前に、RSAキーペアを生成する必要があります。秘密鍵は厳重に管理する必要があります。RSAキーペアを生成するで説明されているとおり、PEM 形式でエンコードされた公開鍵を Auth0 にアップロードしてください。アクセストークンを復号するために秘密鍵へ安全にアクセスできるのは、リソースサーバーまたは API サーバーのみです。

API の JWE を設定する

Auth0 Dashboard
Management API

Auth0 Dashboard を使用して、API の JWE を設定します。まず、API の Token Settings で JSON Web Encryption (JWE) トグルを有効にします。

メッセージが表示されたら、JSON Web Encryption (JWE) キーを追加します。

識別しやすいように、わかりやすい名前を入力します。
公開鍵を PEM 形式でエンコードした証明書をアップロードします。
暗号化アルゴリズムを選択します。
(任意) キー識別子を入力します。

Add をクリックして JWE キーを保存すると、証明書のサムプリントが生成されます。

Auth0 Management API を使用して、リソースサーバーまたは API サーバーの JWE を設定します。JWE は API ごとに設定する必要があるため、各 API はそれぞれ独自の公開暗号化キーを持ちます。次の POST リクエストは、暗号化されたアクセストークンを受け取る新しい API を設定します。

curl -X POST --location "https://{domain}/api/v2/resource-servers" \
    -H "Authorization: Bearer {managementAccessToken}" \
    -H "Content-Type: application/json" \
    --data-raw '{
  "name": "{apiName}",
  "identifier": "{apiIdentifier}",
  "token_encryption": {
    "format": "compact-nested-jwe",
    "encryption_key":
    {
      "name": "{credentialName}",
      "pem": "{pem}",
      "alg": "{alg}",
      "kid": "{kid}"
    }
  }
}'

次の表は、各パラメーターの意味を説明しています。

パラメーター	必須	説明
`apiName`	必須	新しい API の名前。
`apiIdentifier`	必須	API の一意の識別子。これはトークンの audience として使用されます。
`credentialName`	任意	公開鍵の名前。
`pem`	必須	PEM 形式でエンコードされた公開鍵。
`alg`	必須	暗号化アルゴリズムには、`RSA-OAEP-256`、`RSA-OAEP-384`、`RSA-OAEP-512` のいずれかを指定する必要があります。
`kid`	任意	JWE トークンの `kid` ヘッダーに書き込む識別子。キーローテーション時に、暗号化に使用されたキーを識別するために使用できます。

レスポンスには、リソースサーバーを一意に識別する id プロパティが含まれます。また、認証情報の識別に使用できる、生成済みの thumbprint_sha256 フィールドも含まれます。Auth0 は初回作成後、鍵マテリアル (この場合は PEM) を返しません。thumbprint_sha256 を生成する方法はいくつかあります。詳細については、RFC 8705 OAuth 2.0 Mutual-TLS Client Authentication and Certificate-Bound Access Tokens を参照してください。正しい thumbprint_sha256 が生成されたことを確認するには、次の Node.js コードサンプルを使用してサムプリントを抽出できます。

const fs = require('fs');
const crypto = require('crypto');

const { calculateJwkThumbprint, exportJWK } = require('jose');

const publicKeyObject = crypto.createPublicKey(fs.readFileSync('./my_cert.pem'));
exportJWK(publicKeyObject).then((jwk) => {
  calculateJwkThumbprint(jwk, 'sha256').then((thumbprint) => {
    console.log(thumbprint);
  });
});

詳細

JSON Web Encryption

​RSAキーペアを生成する

​API の JWE を設定する

​詳細

RSAキーペアを生成する

API の JWE を設定する

詳細