[feature] /.well-known/jwt-issuer

Author: TakahikoKawasaki

README.ja.md

@@ -94,19 +94,22 @@ Docker を利用する場合は, ステップ 2 の後に以下のコマンド
 
 この実装は、下表に示すエンドポイントを公開します。
 
-| エンドポイント                     | パス                                |
-|:-----------------------------------|:------------------------------------|
-| 認可エンドポイント                 | `/api/authorization`                |
-| トークンエンドポイント             | `/api/token`                        |
-| JWK Set エンドポイント             | `/api/jwks`                         |
-| 設定エンドポイント                 | `/.well-known/openid-configuration` |
-| 取り消しエンドポイント             | `/api/revocation`                   |
-| イントロスペクションエンドポイント | `/api/introspection`                |
-| ユーザー情報エンドポイント         | `/api/userinfo`                     |
-| 動的クライアント登録エンドポイント | `/api/register`                     |
-| PAR エンドポイント                 | `/api/par`                          |
-| グラント管理エンドポイント         | `/api/gm/{grantId}`                 |
-| フェデレーション設定エンドポイント | `/.well-known/openid-federation`    |
+| エンドポイント                                 | パス                                    |
+|:-----------------------------------------------|:----------------------------------------|
+| 認可エンドポイント                             | `/api/authorization`                    |
+| トークンエンドポイント                         | `/api/token`                            |
+| JWK Set エンドポイント                         | `/api/jwks`                             |
+| ディスカバリーエンドポイント                   | `/.well-known/openid-configuration`     |
+| 取り消しエンドポイント                         | `/api/revocation`                       |
+| イントロスペクションエンドポイント             | `/api/introspection`                    |
+| ユーザー情報エンドポイント                     | `/api/userinfo`                         |
+| 動的クライアント登録エンドポイント             | `/api/register`                         |
+| PAR エンドポイント                             | `/api/par`                              |
+| グラント管理エンドポイント                     | `/api/gm/{grantId}`                     |
+| フェデレーション設定エンドポイント             | `/.well-known/openid-federation`        |
+| フェデレーション登録エンドポイント             | `/api/federation/register`              |
+| クレデンシャルイシュアメタデータエンドポイント | `/.well-known/openid-credential-issuer` |
+| JWT イシュアメタデータエンドポイント           | `/.well-known/jwt-issuer`               |
 
 認可エンドポイントとトークンエンドポイントは、[RFC 6749][1]、[OpenID Connect Core 1.0][13]、
 [OAuth 2.0 Multiple Response Type Encoding Practices][33]、[RFC 7636][14] ([PKCE][15])、
@@ -139,7 +142,7 @@ Web API です。 その動作は [RFC 9126][45] で定義されています。
 その動作は [Grant Management for OAuth 2.0][46] で定義されています。
 
 フェデレーション設定エンドポイントは、認可サーバーのエンティティコンフィギュレーションを
-JWT 形式で返す Web API です。その動作は [OpenID Connect Federation 1.0][OIDC_FED]
+JWT 形式で返す Web API です。その動作は [OpenID Federation 1.0][OIDFED]
 で定義されています。
 
 
@@ -291,5 +294,5 @@ Authlete はユーザーアカウントを管理しないので、基本的に
 [45]: https://www.rfc-editor.org/rfc/rfc9126.html
 [46]: https://openid.net/specs/fapi-grant-management.html
 [IDA]: https://openid.net/specs/openid-connect-4-identity-assurance-1_0.html
-[OIDC_FED]: https://openid.net/specs/openid-connect-federation-1_0.html
+[OIDFED]: https://openid.net/specs/openid-federation-1_0.html
 

README.md

@@ -95,19 +95,22 @@ Endpoints
 
 This implementation exposes endpoints as listed in the table below.
 
-| Endpoint                             | Path                                |
-|:-------------------------------------|:------------------------------------|
-| Authorization Endpoint               | `/api/authorization`                |
-| Token Endpoint                       | `/api/token`                        |
-| JWK Set Endpoint                     | `/api/jwks`                         |
-| Configuration Endpoint               | `/.well-known/openid-configuration` |
-| Revocation Endpoint                  | `/api/revocation`                   |
-| Introspection Endpoint               | `/api/introspection`                |
-| UserInfo Endpoint                    | `/api/userinfo`                     |
-| Dynamic Client Registration Endpoint | `/api/register`                     |
-| Pushed Authorization Request Endpoint| `/api/par`                          |
-| Grant Management Endpoint            | `/api/gm/{grantId}`                 |
-| Federation Configuration Endpoint    | `/.well-known/openid-federation`    |
+| Endpoint                             | Path                                    |
+|:-------------------------------------|:----------------------------------------|
+| Authorization Endpoint               | `/api/authorization`                    |
+| Token Endpoint                       | `/api/token`                            |
+| JWK Set Endpoint                     | `/api/jwks`                             |
+| Discovery Endpoint                   | `/.well-known/openid-configuration`     |
+| Revocation Endpoint                  | `/api/revocation`                       |
+| Introspection Endpoint               | `/api/introspection`                    |
+| UserInfo Endpoint                    | `/api/userinfo`                         |
+| Dynamic Client Registration Endpoint | `/api/register`                         |
+| Pushed Authorization Request Endpoint| `/api/par`                              |
+| Grant Management Endpoint            | `/api/gm/{grantId}`                     |
+| Federation Configuration Endpoint    | `/.well-known/openid-federation`        |
+| Federation Registration Endpoint     | `/api/federation/register`              |
+| Credential Issuer Metadata Endpoint  | `/.well-known/openid-credential-issuer` |
+| JWT Issuer Metadata Endpoint         | `/.well-known/jwt-issuer`               |
 
 The authorization endpoint and the token endpoint accept parameters described
 in [RFC 6749][1], [OpenID Connect Core 1.0][13],
@@ -143,7 +146,7 @@ and revoke a grant ID. Its behavior is defined in [Grant Management for OAuth 2.
 
 The federation configuration endpoint is a Web API that publishes the entity
 configuration of the authorization server in the JWT format. Its behavior is
-defined in [OpenID Connect Federation 1.0][OIDC_FED].
+defined in [OpenID Federation 1.0][OIDFED].
 
 
 Authorization Request Example
@@ -298,4 +301,4 @@ Contact
 [45]: https://www.rfc-editor.org/rfc/rfc9126.html
 [46]: https://openid.net/specs/fapi-grant-management.html
 [IDA]: https://openid.net/specs/openid-connect-4-identity-assurance-1_0.html
-[OIDC_FED]: https://openid.net/specs/openid-connect-federation-1_0.html
+[OIDFED]: https://openid.net/specs/openid-federation-1_0.html

authlete.properties

@@ -40,3 +40,10 @@ base_url = https://api.authlete.com
 #
 service.api_key = 5593494639
 service.api_secret = AAw0rner_-y1A6J9s20wjRCpkBvez3GxEBoL9jOJVR0
+
+# For Authlete 3.0
+#
+#api_version = V3
+#base_url = https://nextdev-api.authlete.net
+#service.api_key = 986126671
+#service.access_token =

pom.xml

@@ -12,8 +12,8 @@
   <properties>
     <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
 
-    <authlete.java.common.version>3.75</authlete.java.common.version>
-    <authlete.java.jaxrs.version>2.62</authlete.java.jaxrs.version>
+    <authlete.java.common.version>3.80</authlete.java.common.version>
+    <authlete.java.jaxrs.version>2.65</authlete.java.jaxrs.version>
     <javax.servlet-api.version>3.0.1</javax.servlet-api.version>
     <jersey.version>2.30.1</jersey.version>
     <jetty.version>9.4.27.v20200227</jetty.version>

src/main/java/com/authlete/jaxrs/server/api/vci/CredentialJwtIssuerEndpoint.java

@@ -0,0 +1,67 @@
+/*
+ * Copyright (C) 2023 Authlete, Inc.
+ *
+ * Licensed under the Apache License, Version 2.0 (the "License");
+ * you may not use this file except in compliance with the License.
+ * You may obtain a copy of the License at
+ *
+ *     http://www.apache.org/licenses/LICENSE-2.0
+ *
+ * Unless required by applicable law or agreed to in writing,
+ * software distributed under the License is distributed on an
+ * "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND,
+ * either express or implied. See the License for the specific
+ * language governing permissions and limitations under the
+ * License.
+ */
+package com.authlete.jaxrs.server.api.vci;
+
+
+import javax.ws.rs.GET;
+import javax.ws.rs.Path;
+import javax.ws.rs.WebApplicationException;
+import javax.ws.rs.core.Response;
+import com.authlete.common.api.AuthleteApi;
+import com.authlete.common.api.AuthleteApiFactory;
+import com.authlete.common.dto.CredentialJwtIssuerMetadataRequest;
+import com.authlete.common.dto.CredentialJwtIssuerMetadataResponse;
+import com.authlete.jaxrs.server.util.ResponseUtil;
+
+
+@Path("/.well-known/jwt-issuer")
+public class CredentialJwtIssuerEndpoint extends AbstractCredentialEndpoint
+{
+    @GET
+    public Response get()
+    {
+        final AuthleteApi api = AuthleteApiFactory.getDefaultApi();
+
+        return metadata(api);
+    }
+
+
+    private Response metadata(AuthleteApi api) throws WebApplicationException
+    {
+        CredentialJwtIssuerMetadataRequest request =
+                new CredentialJwtIssuerMetadataRequest()
+                        .setPretty(true);
+
+        CredentialJwtIssuerMetadataResponse response =
+                api.credentialJwtIssuerMetadata(request);
+
+        String content = response.getResponseContent();
+
+        switch (response.getAction())
+        {
+            case NOT_FOUND:
+                return ResponseUtil.notFoundJson(content);
+
+            case OK:
+                return ResponseUtil.okJson(content);
+
+            case INTERNAL_SERVER_ERROR:
+            default:
+                return ResponseUtil.internalServerError(content);
+        }
+    }
+}

src/main/webapp/WEB-INF/web.xml

@@ -36,6 +36,7 @@
         com.authlete.jaxrs.server.api.vci.BatchCredentialEndpoint,
         com.authlete.jaxrs.server.api.vci.CredentialEndpoint,
         com.authlete.jaxrs.server.api.vci.CredentialMetadataEndpoint,
+        com.authlete.jaxrs.server.api.vci.CredentialJwtIssuerEndpoint,
         com.authlete.jaxrs.server.api.vci.DeferredCredentialEndpoint,
         com.authlete.jaxrs.server.api.vci.CredentialOfferEndpoint,
         com.authlete.jaxrs.server.api.vci.CredentialOfferIssueEndpoint,
@@ -89,6 +90,7 @@
     <url-pattern>/.well-known/openid-configuration</url-pattern>
     <url-pattern>/.well-known/openid-credential-issuer</url-pattern>
     <url-pattern>/.well-known/openid-federation</url-pattern>
+    <url-pattern>/.well-known/jwt-issuer</url-pattern>
     <url-pattern>/.well-known/apple-app-site-association</url-pattern>
   </filter-mapping>
 

src/main/webapp/index.html

@@ -36,7 +36,7 @@
           <td><a href="/api/jwks">/api/jwks</a></td>
         </tr>
         <tr>
-          <td valign="top">Configuration Endpoint</td>
+          <td valign="top">Discovery Endpoint</td>
           <td><a href="/.well-known/openid-configuration">/.well-known/openid-configuration</a></td>
         </tr>
         <tr>
@@ -57,7 +57,7 @@
         </tr>
         <tr>
           <td valign="top">Grant Management Endpoint</td>
-          <td>/api/gm</td>
+          <td>/api/gm/{grantId}</td>
         </tr>
         <tr>
           <td valign="top">Federation Configuration Endpoint</td>
@@ -67,6 +67,14 @@
           <td valign="top">Federation Registration Endpoint</td>
           <td>/api/federation/register</td>
         </tr>
+        <tr>
+          <td valign="top">Credential Issuer Metadata Endpoint</td>
+          <td><a href="/.well-known/openid-credential-issuer">/.well-known/openid-credential-issuer</a></td>
+        </tr>
+        <tr>
+          <td valign="top">JWT Issuer Metadata Endpoint</td>
+          <td><a href="/.well-known/jwt-issuer">/.well-known/jwt-issuer</a></td>
+        </tr>
       </tbody>
     </table>