LWS 1.0 认证套件：使用 did:key 的自签名身份

自签发身份对于应用程序代表自身行事的情况很重要。 这包括自主机器人以及服务器端脚本等。 在这些情况下，代理能够 安全地管理密钥对的私有部分，并使用它生成已签名的 JSON Web Token (JWT)。 本规范描述了这类代理如何生成可用于链接式 Web 存储的 认证凭证， 同时使用带有 did:key: 方法的代理标识符。

除了标记为非规范性的章节外，本规范中的所有编写指南、图表、示例和注释均为非规范性内容。 本规范中的其他所有内容均为规范性内容。

本文档中的关键词 MAY、MUST 和 MUST NOT 在且仅在它们如这里所示以全部大写形式出现时，应按照 BCP 14 [RFC2119] [RFC8174] 中所述进行解释。

术语“authorization server”和“client”由 The OAuth 2.0 Authorization Framework [RFC6749] 定义。

术语“JSON Web Token (JWT)”和“claim”由 JSON Web Token [RFC7519] 定义。

术语“agent”、“authentication credential”和“authentication suite”由 Linked Web Storage Protocol [LWS10-CORE] 定义。

自签发的认证凭证会被 序列化为已签名的 JSON Web Token (JWT)。为了将 JWT 用作 LWS 认证凭证， 适用以下附加要求。

• JWT MUST NOT 使用 "none" 作为签名算法。
• JWT MUST 使用 sub（subject）声明作为 LWS 主体 标识符。主体标识符 MUST 使用 did:key: URI。
• JWT MUST 使用 iss（issuer）声明作为 LWS 签发者 标识符。
• JWT MUST 使用 client_id（client ID）声明作为 LWS 客户端标识符。
• 声明 sub、iss 和 client_id MUST 全部使用相同的 URI 值。
• ID Token 中的任何受众限制 MUST 使用 aud （audience）声明。aud 声明 MUST 包含目标 授权服务器。
• JWT MUST 包含 exp（expiration）声明，用于指示 令牌过期的时间。
• JWT MUST 包含 iat（issued at）声明，用于指示 令牌签发的时间。

下面包含一个同时也是 LWS 认证凭证的示例 JWT。

{
  "kty": "EC",
  "alg": "ES256",
  "typ": "JWT",
  "crv": "P-256"
}
.
{
  "sub": "did:key:zDnaerx9CtbPJ1q36T5Ln5wYt3MQYeGRG5ehnPAmxcf5mDZpv",
  "iss": "did:key:zDnaerx9CtbPJ1q36T5Ln5wYt3MQYeGRG5ehnPAmxcf5mDZpv",
  "client_id": "did:key:zDnaerx9CtbPJ1q36T5Ln5wYt3MQYeGRG5ehnPAmxcf5mDZpv",
  "aud": ["https://as.example"],
  "iat": 1761313600,
  "exp": 1761313900
}
.
signature

对于使用 did:key 方法的主体标识符，验证者将从标识符本身提取公钥， 如“The did:key Method”第 3.1.3 节 [did-key] 中所述。 使用此公钥时，JWT 的签名 MUST 按照 [RFC7515] 第 5.2 节中所述进行验证。

验证者 MUST 验证认证凭证 数据模型所描述的所有声明。

验证者 MUST 确保当前时间早于 exp 声明所表示的时间。实现者 MAY 提供一些较小的宽限时间， 以考虑时钟偏差。

用作认证凭证的自签发 JSON Web Token 在与授权服务器交互时 MUST 使用 urn:ietf:params:oauth:token-type:jwt URI。