Transformed Claims에 대한 생각입니다.

개시하다

처음 뵙겠습니다.
개구리.🐸네.
트윗에 트랜스formed Clims(TC)에 대한 내용이 흘러나오기 때문에 제 생각을 적으려고 합니다.
이 글은 Digital Identity 기술 학습회 #iddance 사랑의 다섯째 날의 글이다.
자세한 방법은 이쪽을 보세요.
OpenID Connect Advanced Syntax for Claims (ASC) 1.0

Transformed Claims 소개

그럼 Transformed Claims 아세요?
Transformed Clims는 OIDC의 확장 사양(밑그림 단계)으로, OP에 저장된 End User의 검증된 불만을 RP로 변환할 수 있다.
예를 들어 나이를 확인해야 하는 서비스에서

RP는 18세 미만의 사용자를 서비스에 등록시키지 않으려고 합니다.

End User의 정보는 OP를 통해 검증되었습니다.(eKYC 등)

이 경우 OP는 일반적인 경우 RP에 User를 종료하는 검증 종료birthdate를 보내 RP로 등록 가능 여부를 판단할 수 있다.
그러나 RP가 18세 이상을 알기 위해 검증된birthdate를 보내는 것은 개인 프라이버시 관점에서 적절하지 않다.
따라서 Transformed Claims는 다음과 같은 json에서 함수를 정의하고birthdate를 변환하며 RP는 End User가 18세 이상인지 여부만 보냅니다.

{
  "transformed_claims": {
    "age_18_or_over": {
      "claim": "birthdate",
      "fn": [
        "years_ago",
        [ "gte", 18 ]
      ]
    }
    ...
  }
}

상기 함수로 변환한claim

{
  ...
  "id_token": {
    "::age_18_or_over": {
      "value": true,
      "essential": true
    }
    ...
  }
}

Transformed Clims 함수 외에 숫자/날짜/시간의 비교, 해시화, 정규 표현식 등 함수를 통해 정의할 수 있다.
https://bitbucket.org/openid/ekyc-ida/src/master/openid-advanced-syntax-for-claims.md

생각

확실히 편리하지만 IdP의 한 기능으로 실현하는 것이 좋다.내 생각엔
그리고 사용하는 곳은 나이를 확인하는 것 외에는 잘 생각나지 않으니 용례가 있다면 댓글로 남겨주세요.
(혼자 디자인하면 용례가 떠오르지만 혼자 설치하면 좋지 않나요?)