GM_T 0068-2019开放的第三方资源授权协议框架.pdf

ICS_ 35.040L 80GM中华人民共和国密码行业标准GM/T 0068—2019开放的第三方资源授权协议框架Open third party resource authorization protocol framework2019-07-12发布2019-07-12实施国家密码管理局发布 GM/T 0068—2019目次前言引言-范围2规范性引用文件3术语和定义4编略语概述5.1协议流程5,.2协议通道要求5.3协议端点第三方应用程序及安全要求6.1第三方应用程序类型6.2第三方应用程序标识符6.3第三方应用程序注册要求6.4第三方应用程序身份鉴别授权流程7.1授权许可7.2授权码许可流程7.3隐式许可流程7.4资源拥有者口令凭据许可流程7.5第三方应用程序身份免据许可流程令牌88.1令牌类型...188.2访问令牌发放208.3访间令牌剧新21受保护资额访间9,1受保护资源访问流程.219.2成功响应229.3出错响应附录A（资料性附录）协议参数说明参考文献25 GM/T 0068—20196.2第三方应用程序标识特第三方应用程序标识是授权服务器为注册的第三方应用程序发放的应用程序标识符。该标识符是字符串，授权服务器使用该字符审可唯一标识一个第三方应用程序，本标准对第三方应用程序标识符的长度不作规定，授权服务器应规定该标识符的长度，并对其发放的任何长度的标识符进行详细记录，第三方应用程序不应对此标识的长度进行假定，6.3第三方应用程序注量要求在协议进行之前，第三方应用程序的提供商需要在投权服务器上注册第三方应用程序的信息（例如重定向端点URI、第三方应用程序类型等），建立第三方应用程序与授权服务器的信任关系，第三方应用程序提供商应使用授权服务器支持的注册方法（通常由授权服务器的服务文档提供)完成注册过程，具体注册方法不属于本标准的规定范围。在注册第三方应用程序时，第三方应用程序提供商宜提供以下信息给授权服务器：a）第三方应用程序的类型（见6.1)；b）指向第三方应用程序的重定向编点（见5.3.4)；授权服务器所要求的其他信息（如，应用名称、网站和措述等），6.4第三方应用程序身份整别6.4.1第三方应用程序鉴别方案6.4.1,11第三方应用程序口令凭据鉴别方索当授权服务器使用基于口令凭据的鉴别方案对第三方应用程序进行鉴别时，投权服务器可使用HTTP摘要访间鉴别方案（digestaccess authentication scheme，见RFC2617)，第三方应用程序对其标识符、口令、授权服务器发送的nonce参数值（随机字符审，用于防止重放攻击）使用SM3算法（见GB/T32905—2016)进行杂漆运算后，再采用spplication/x-www-form-urlencoded（见RFC1867）编以进行身份鉴别，请求中包含如下参数：a）(client_id[必选]6.2中所措述的第三方应用程序标识符。b)(elient_secret[必选]第三方应用程序的口令。本标准不推荐授权服务器使用口令对第三方应用程序进行鉴别。如果使用这种方案，第三方应用程序的口令应效在请求主体部分中进行传输（即应采用POST方式），不能包含在请求的URI中（即不应采用GET方式)。投权服务器和第三方应用程序的交互应使用SSLVPN技术规范中规定的安全通信协议（见5.2)，由于鉴别此类第三方应用程序的方法涉及口令，授权服务器应确保所有涉及口令的端点能够抵御暴力攻击。第三方应用程序数字证书鉴别方案本标准推荐授权服务器使用基于SM2算法（见GB/T32918.2—2016或GB/T32918.4—2016）的数字证书鉴别方案对第三方应用程序进行鉴别，推荐采用GB/T15843.3中规范的相关鉴别方案。7 GM/T 0068—20其他鉴别方累第三方应用程序标识符所对应的鉴别方案。6.4.2鉴别安全要求有保密能力型的第三方应用程序和投权服务器之间应确立一种满足投权服务器安全要求（通常由授权服务器的服务文档提供)的身份签别方法，使得授权服务器可以安全地对第三方应用程序的身份进行鉴别。投权服务器通常在有保密能力型第三方应用程序注册时，授予第三方应用程序身份免据（例如口令、数字证书），通过基于口令凭据或数字证书的鉴别方案对第三方应用程序进行身份鉴别，有保密能力型的第三方应用程序应确保其身份免据的机密性，无保密能力型的第三方应用程序可与授权服务器协商身份鉴划方法，但由于无保密能力型第三方应用无法保证凭据的机密性，投权服务器不能仅依赖该方法对第三方应用程序身份的真实性进行判定。授权服务器不应发放第三方应用程序身份免据给无保密能力型的第三方应用程序，但特殊设备上的本地应用如果具有对身份凭据的保密能力，授权服务器可发放第三方应用程序身份免据给该类第三方