先日のIIWからドイツ経由でダブリンにわたり、IETF 121 Dublinに参加してきました。
基本はWeb Authorization Protocolまわり(要するにOAuth)のセッションに参加しつつ、気になるSide Meetingに参加する、というスタイルで参加してきました。
なお、初めてだったこともあり、ほぼほぼ様子見となってしまったのであまりまとめてはいませんので、中身はOAuth WGのメーリングリストなどを参考にしてください。
OAuth WGのアジェンダはこちらです。
https://datatracker.ietf.org/doc/agenda-121-oauth/
テーマ盛りだくさんですね。
- Token Status List
- Attestation-based Client Authentication
- Transaction Token
- Extending RFC8414 with client-specific responses
- OAuth Identity and Authorization Chaining Across Domains
- Identity Assertion Authorization Grant
- OAuth 2.1 update
- OAuth Client ID Metadata Document
- First Party Apps
- SD-JWT
- SD-JWT-VC
- One-time confirmation tokens
- One-time auth tokens
まぁ、IETFってそういうもんだ、という話でしたが結構生煮えな状態でドラフトを持ってきてみんなで叩く、って感じなんですね。新鮮でした。
印象に残ったものを2〜3点ばかり。
Token Status List
先日ここでも紹介したやつですね。
これは結構固まってきているイメージはありました。まぁ仕方がないとはいえBitStringを使うのは難しいですよね。ガベージコレクションなど工夫しないといつか枯渇するわけですが、じゃぁ、どうやってガベージコレクションするんだ?というあたりはまだこれから(というか運用マター)な感じでした。
OAuth Client ID Metadata Document
SAMLでいうSP Metadataですよね。。。Dynamic Client Registrationと棲み分けるのか置き換えるのか、あたりがポイントになりそうです。
FastFedあたりに使っていくのかな、って感じです。
SD-JWT/SD-JWT-VC
cty/typをどうするの?って話が面白かったですね。vc+sd-jwtからスタートしているわけですが、W3C VC DM 2.0ではvc+ld+jsonとかになってきているので、もう乱立状態です。
色々と大人の事情もありつつdc+sd-jwtにしようよ、って提案がありました。
うーん。正直ここまで来るとvcとかdcとか用途に近いことをprefixにつけるのは悪手に見えて仕方がありませんが・・・
まぁ、大事なところなので引き続き様子を見ていきます。
ということで次回はバンコクなので、引き続きオンラインで議論は続く感じです。ウォッチしていこうと思います。
しかし、ダブリンいいところですね。またいきたいです。
トリニティカレッジ
ギネスの生。もう缶には戻れません。
投稿
0 件のコメント:
コメントを投稿