/oauth/token/oauth/par/userinfo
クライアント証明書を検証する
カスタマーエッジネットワークは、予期されているタイプの証明書に適切な検証を行います。セキュリティ関連のよくある問題や危険を回避するために、可能であれば、十分に検査されている証明書検証ライブラリーを使用してください。クライアント証明書が検証に失敗した場合の動作はインストールによってさまざまであり、その説明はこのドキュメントの範囲外です。CA署名証明書
証明機関が証明書に署名すると、ルート証明書も含めて、信頼チェーンを確認する必要があります。証明書が登録済みで、取り消されていないことを確認するために、証明書を許可リストや拒否リストに照らし合わせて比較することもあります。証明書を署名するのに、公的証明機関(LetsEncryptなど)を使用してはいけません。クライアントになりすまされる危険があります。自己署名証明書
自己署名証明書には信頼チェーンによる裏付けがないため、証明書チェーンを確認できません。その場合には、証明書サムプリントを登録済み証明書のデータベースに照らし合わせて確認するか、直接Auth0に転送して確認します。要求を転送する
証明書が検証されたら、いくつかの特殊ヘッダーを含む要求が、顧客からカスタムドメインのAuth0エッジネットワークの転送先にある同じエンドポイントに転送されます。転送される要求には以下のヘッダーが必要です。-
カスタムドメインのAPIキーを
cname-api-keyヘッダーとして含めます。 -
クライアント証明書を
client-certificateヘッダーとして含めます。注意 :HTTPヘッダーはテキストでなければならないため、証明書をPEMエンコードされたURLコンポーネントに変換する必要があります。ヘッダー値の上限は4096バイトです。そのため、チェーンにある最初の証明書をAuth0に転送する必要があります。 -
クライアント証明書のCA検証ステータスを
client-certificate-ca-verifiedヘッダーとして含めます。client-certificate-ca-verifiedヘッダーには、以下の値を含めることができます。- SUCCESS :クライアント証明書が有効で、証明機関によって検証済みです。
- FAILED :提示されたクライアント証明書は有効ですが、証明書の信頼チェーンが証明機関によって検証されていません。つまり、これは自己署名証明書です。任意で、失敗の理由が含まれることもあります。
client-certificate-ca-verified:FAILEDヘッダーの送信を期待します。このヘッダーの値によって、Auth0はどのクライアント認証方法が使用され、どのクライアント資格情報に検証の必要があるのかを理解します。