ID トークンの署名鍵の変更

概要


本記事では、ID トークンの署名鍵の変更手順を示します。変更後の鍵を実際に用いるためには、Authlete サービスの設定変更に加え、そのサービスに登録されているクライアントにも設定変更が必要となる場合があります。

サービス設定の変更


サービス設定の「JWK セットの内容」に JWK セットドキュメントを登録します。

ここでは例として、mkjwk.org サービスを用いて ES256 の鍵ペアを作成するとします。ここでは以下の通り選択・入力しています。

  • Key Type: Elliptic Curve
  • Curve: P-256
  • Key Use: Signing
  • Algorithm: ES256
  • Key ID: 1

mkjwk.png 242.71 KB


生成された "Keypair set" を、対象サービス設定の「JWK Set (JWK セット)」にある「JWK Set Content (JWK セットの内容)」の項目に追加します。また同じページの「ID Token Signature Key ID(ID トークン署名キー ID)」の項目に、この Keypair set の kid の値(上記の例では「1」)を入力します。

so-jwkset.png 134.45 KB
 


クライアント設定の変更


クライアントに対して、変更後の鍵(署名アルゴリズム ES256)によって署名された ID トークンを提供するべく、クライアント設定の「ID Token Signature Algorithm (ID トークンの署名アルゴリズム)」の項目にて、「ES256」を選択します。

cd-idTokenSigAlg.png 88.29 KB


以上の設定により Authlete は、このクライアントに提供する ID トークンについて、署名アルゴリズム ES256 の鍵(kid=1)を用いて署名するようになります。
How did we do with this article?