非公開キー JWT

非公開キー JWT は クライアント認証 のメソッドであり、クライアントは自分自身の非公開キーを使用して JWT を作成し署名します。このメソッドは RFC 7521（アサーションフレームワーク） と RFC 7523（クライアント認証用の JWT プロファイル） の組み合わせで説明されており、OpenID Connect と FAPI 2.0 セキュリティプロファイル で参照されています。

OAuth では、非公開キー JWT は一種のクライアント認証として使用できます。これは private_key_jwt と呼ばれる場合もありますが、JWT 自体は実際には client_assertion というパラメーターで送信されます。OAuth でのその他のクライアント認証の方法には以下があります。

• 相互 TLS（RFC 8705）
• クライアント秘密（RFC 6749）

詳細な情報

• クライアント認証用の JWT を構築する（developer.okta.com）
• Login.gov の OpenID Connect ドキュメント
• 非公開キー JWT クライアント認証（cloudentity.com）
• private_key_jwt を使用したクライアント認証（authlete.com）