LWS 1.0 認証スイート:did:keyを使用した自己署名アイデンティティ

W3C 作業草案

この文書の詳細情報
このバージョン:
https://www.w3.org/TR/2026/WD-lws10-authn-ssi-did-key-20260609/
最新公開バージョン:
https://www.w3.org/TR/lws10-authn-ssi-did-key/
最新の編集者草案:
https://w3c.github.io/lws-protocol/lws10-authn-ssi-did-key/
履歴:
https://www.w3.org/standards/history/lws10-authn-ssi-did-key/
コミット履歴
編集者:
Jesse Wrightオックスフォード大学
著者:
Aaron CoburnInrupt Inc.
フィードバック:
GitHub w3c/lws-protocolプルリクエスト新しいイシュー未解決のイシュー

概要

この文書は、Linked Web Storage (LWS) プロトコル向けの認証スイートを定義し、自身の アイデンティティトークンに署名できるクライアントがLWSと統合できるようにします。

この文書のステータス

このセクションは、この文書の公開時点における ステータスを説明します。現在のW3C 公開文書の一覧およびこの技術報告書の最新版は、 W3C標準および草案 インデックスで確認できます。

これは非公式な提案です。

この文書は、Linked Web Storageワーキング グループにより、 勧告 トラックを用いる作業草案として公開されました。

作業草案としての公開は、 W3Cおよびそのメンバーによる 承認を意味するものではありません。

これは草案文書であり、いつでも他の文書によって更新、置換、または廃止される可能性があります。 この文書を進行中の作業以外のものとして引用することは適切ではありません。

この文書は、 W3C 特許 ポリシーの下で活動するグループにより作成されました。 W3Cは、 そのグループの成果物に関連して行われた 特許開示の公開リストを管理しています。 そのページには、特許を開示するための 手順も含まれています。個人が、当該個人が 必須クレームを含むと考える特許について 実際の知識を有している場合、その個人は W3C特許ポリシー第6節に従って 情報を開示しなければなりません。

この文書は、 2025年8月18日のW3Cプロセス文書に準拠します。

1. 序論

自己発行アイデンティティは、アプリケーションが自身の代理として動作する場合に重要です。 これには、自律ボットやサーバーサイドスクリプトなどが含まれます。 これらの場合、エージェントは、 署名付きJSON Web Token (JWT)を生成するために使用する鍵ペアの秘密部分を安全に管理できます。 この仕様は、この種のエージェントが、did:key: メソッドを用いたエージェント識別子を使用しながら、Linked Web Storageで利用できる 認証クレデンシャルを生成する方法を説明します。

2. 適合性

非規範的と明示されたセクションに加え、この仕様内のすべての作成ガイドライン、図、例、および注記は 非規範的です。この仕様のその他すべては規範的です。

この文書におけるキーワードMAYMUST、およびMUST NOTは、 ここに示すようにすべて大文字で出現する場合に限り、 BCP 14 [RFC2119] [RFC8174] に記述されているとおりに解釈されます。

3. 用語

用語「authorization server」および「client」は、The OAuth 2.0 Authorization Framework [RFC6749]で定義されています。

用語「JSON Web Token (JWT)」および「claim」は、JSON Web Token [RFC7519]で定義されています。

用語「agent」、「authentication credential」、および「authentication suite」は、Linked Web Storage Protocol [LWS10-CORE]で定義されています。

4. 認証クレデンシャルの シリアライズ

自己発行の認証クレデンシャルは、 署名付きJSON Web Token (JWT)としてシリアライズされます。JWTをLWSの認証クレデンシャルとして使用するには、 次の追加要件が適用されます。

LWSの認証クレデンシャルでもあるJWTの例を 以下に示します。

{
  "kty": "EC",
  "alg": "ES256",
  "typ": "JWT",
  "crv": "P-256"
}
.
{
  "sub": "did:key:zDnaerx9CtbPJ1q36T5Ln5wYt3MQYeGRG5ehnPAmxcf5mDZpv",
  "iss": "did:key:zDnaerx9CtbPJ1q36T5Ln5wYt3MQYeGRG5ehnPAmxcf5mDZpv",
  "client_id": "did:key:zDnaerx9CtbPJ1q36T5Ln5wYt3MQYeGRG5ehnPAmxcf5mDZpv",
  "aud": ["https://as.example"],
  "iat": 1761313600,
  "exp": 1761313900
}
.
signature

5. 認証クレデンシャルの 検証

did:keyメソッドを使用するサブジェクト識別子について、検証者は 「The did:key Method」[did-key]の セクション3.1.3で説明されているように、識別子自体から公開鍵を抽出します。 この公開鍵を使用して、JWTの署名は [RFC7515]のセクション5.2に記述されているとおりに 検証されなければなりません(MUST)。

検証者は、認証クレデンシャル データモデルで記述されているすべてのクレームを検証しなければなりません(MUST)。

検証者は、現在時刻がexpクレームで表される時刻より前であることを 確認しなければなりません(MUST)。実装者は、クロックスキューを考慮するために、 わずかな猶予を設けてもよいです(MAY)。

6. トークンタイプ識別子

認証クレデンシャルとして使用される 自己発行JSON Web Tokenは、認可サーバーとやり取りする際に urn:ietf:params:oauth:token-type:jwt URIを使用しなければなりません(MUST)。

7. セキュリティ上の考慮事項

このセクションは非規範的です。

「Best Current Practice for OAuth 2.0 Security」[RFC9700]および「OpenID Connect Core 1.0」セクション16 [OPENID-CONNECT-CORE]に記述されている すべてのセキュリティ上の考慮事項が、この仕様に適用されます。

8. プライバシー上の考慮事項

このセクションは非規範的です。

Issue 119: 認証スイートにプライバシー上の考慮事項の セクションを追加する

このセクションは完成させる必要があります。

A. 参考文献

A.1 規範的参考文献

[did-key]
The did:key Method v0.9. W3C. URL: https://w3c-ccg.github.io/did-key-spec/
[LWS10-CORE]
Linked Web Storage Protocol 1.0. W3C. FPWD. URL: https://www.w3.org/TR/lws10-core/
[RFC2119]
RFCにおいて要求レベルを示すために用いる キーワード. S. Bradner. IETF. 1997年3月。Best Current Practice。URL: https://www.rfc-editor.org/rfc/rfc2119
[RFC6749]
The OAuth 2.0 Authorization Framework. D. Hardt, Ed. IETF. 2012年10月。Proposed Standard。URL: https://www.rfc-editor.org/rfc/rfc6749
[RFC7515]
JSON Web Signature (JWS). M. Jones; J. Bradley; N. Sakimura. IETF. 2015年5月。Proposed Standard。URL: https://www.rfc-editor.org/rfc/rfc7515
[RFC7519]
JSON Web Token (JWT). M. Jones; J. Bradley; N. Sakimura. IETF. 2015年5月。Proposed Standard。URL: https://www.rfc-editor.org/rfc/rfc7519
[RFC8174]
RFC 2119キーワードにおける大文字と小文字の曖昧性. B. Leiba. IETF. 2017年5月。Best Current Practice。URL: https://www.rfc-editor.org/rfc/rfc8174

A.2 参考情報としての参考文献

[OPENID-CONNECT-CORE]
OpenID Connect Core 1.0 incorporating errata set 2. N. Sakimura; J. Bradley; M. Jones; B. de Medeiros; C. Mortimore. OpenID Foundation. 2023年12月15日。Final。URL: https://openid.net/specs/openid-connect-core-1_0.html
[RFC9700]
Best Current Practice for OAuth 2.0 Security. T. Lodderstedt; J. Bradley; A. Labunets; D. Fett. IETF. 2025年1月。 Best Current Practice。URL: https://www.rfc-editor.org/rfc/rfc9700