개요
- RFC 9207 에 기술되어 잇는
OAuth 2.0 Authorization Server Issuer Identification는mix-up attacks라는 공격에 대한 대책이라고 한다. - 간단히 말하자면, 복수의 IdP를 통해 OAuth를 수행하는 환경에서, 인가서버가 인가 응답에
iss라는 파라메터로 인증서버의 DNS 도메인 값(Authorization Server의 issuer값)을 회신해주는 방법인 것 같다. - 유저입장에서는 정당한 인증서버에서 리다이렉트 된 것인지 iss값을 확인하면 알 수 있다.
OAuth2.0 용어
- AS: Authorization Server
- IdP: Identity Provider
참고
다음 일본 사이트를 많이 참고했다.
- https://zenn.dev/ritou/articles/aa99fabb810cff#oauth-2.0-authorization-server-issuer-identification
- https://oauth.jp/blog/2016/01/12/oauth-idp-mix-up-attack/