그림 PAR : OAuth 2.0 Pushed Authorization Requests

이 기사에서는 "OAuth 2.0 Pushed Authorization Requests"(통칭 PAR)을 그림을 사용하여 설명합니다. (영어판은 여기)

2021년 9월 16일 추가: PAR이 RFC 9126입니다.

클라이언트 응용 프로그램과 권한 부여 서버가 있습니다.



클라이언트 응용 프로그램에는 복잡한 권한 부여 요청이 있습니다.



인증 서버가 OAuth 2.0 Pushed Authorization Requests (통칭 PAR)를 지원하는 경우 서버는 Pushed Authorization Request Endpoint를 게시합니다.



클라이언트 응용 프로그램은 Pushed Authorization Request Endpoint에서 복잡한 권한 부여 요청을 권한 부여 서버에 등록합니다.



응답으로 등록 된 권한 부여 요청을 나타내는 Request URI가 발행됩니다.



클라이언트 응용 프로그램은 웹 브라우저를 통해 권한 부여 서버의 권한 부여 끝점에 권한 부여 요청을 보냅니다. 클라이언트는 복잡한 권한 요청을 보낼 필요가 없습니다. 대신 발행 된 Request URI를 request_uri 요청 매개 변수의 값으로 보내는 것으로 충분합니다. (「RFC 9101 JWT-Secured Authorization Request」(통칭 JAR)가 감히 깨진 후방 호환성을 소중히 생각한다면, client_id나 response_type 등의 필수 리퀘스트 파라미터군도 더해)



응답으로 권한 부여 코드, 액세스 토큰, ID 토큰 등이 발행됩니다. 아래 그림에서는 인증 코드가 발행되어 있습니다. 이는 권한 요청에 대한 response_type 요청 매개 변수에 code가 포함된 경우에 발생합니다. 토큰 그룹과 플로우 그룹 간의 관계에 대해서는 "OpenID Connect 전체 흐름 설명"을 참조하십시오.



클라이언트 응용 프로그램은 항상 인증 코드와 함께 인증 서버의 토큰 끝점에 토큰 요청을 보냅니다.



응답으로 액세스 토큰 및 조건에 따라 ID 토큰이 발행됩니다.



요약 풀 컬러 다이어그램.



새로운 유스 케이스나 요구에 대응하기 위해, 새로운 사양군의 개발이 계속되고 있습니다. 이러한 사양 그룹 중 일부는 권한 요청을 늘릴 수 있습니다. 예를 들어, OAuth 2.0 Rich Authorization Requests (RAR)는 복잡한 JSON 구조를 가진 authorization_details 요청 매개 변수를 추가하고, OpenID Connect for Identity Assurance 1.0 (IDA) (내 기사 : Identity Assurance - eKYC 시대의 OpenID Connect) 요청 매개 변수 (OIDC Core 1.0, Section 5.5)의 값에 복잡한 JSON 구조 claims를 삽입했습니다.

이 기사에서 다룬 "OAuth 2.0 Pushed Authorization Requests"(PAR)은 클라이언트 응용 프로그램이 큰 브라우저 요청을 웹 브라우저를 통해 보낼 필요가 없도록 개발되었습니다. 또한 PAR은 다른 이점을 제공합니다. 자세한 정보는 PAR 스펙 자체나 스펙 작성자Torsten Lodderstedt 기사 그룹(예: Pushed Authorization Requests Draft adopted by OAuth Working Group 등)을 참조하십시오.

내 회사의 제품인 Authlete(오슬리트)는 버전 2.2 이상에서 PAR, RAR, IDA를 지원합니다(사양 시트). 이러한 새로운 사양을 사용하려면 연락처 양식 또는 이메일 (글쎄 s@ 맞는 th. 이 m)로 문의하십시오.