Progettazione e implementazione di un meccanismo per associare access token OAuth al certificato X.509 di un client

Esistono diversi sistemi per garantire l'accesso sicuro a risorse protette all'interno di un'infrastruttura distribuita. Tra questi, uno dei più diffusi è basato sull'utilizzo di access token OAuth, spesso sotto forma di JSON Web Token (JWT), che agiscono come credenziali temporanee, consentendo a un soggetto autenticato di accedere a determinate risorse senza dover ripetere il processo di autenticazione ad ogni richiesta. In una tipica architettura client-server, in cui il processo di autenticazione e autorizzazione si fonda sull'utilizzo di access token, garantire l'autenticità e la validità di questi ultimi è cruciale per la sicurezza. Se un attaccante riuscisse ad entrare in possesso di un access token in corso di validità, potrebbe ottenere l'accesso a risorse protette del server, impersonando un utente legittimo. Per mitigare questo tipo di attacco, sono state proposte diverse soluzioni volte a legare in modo univoco l'access token all'entità a cui è stato originariamente rilasciato. Tra gli approcci più significativi vi sono quelli descritti nel RFC 8705 (OAuth 2.0 Mutual-TLS Client Authentication and Certificate-Bound Access Tokens) e nel RFC 9449 (OAuth 2.0 Demonstrating Proof of Possession). Il primo sfrutta il protocollo mutual TLS per vincolare il token al certificato del client, mentre il secondo introduce un meccanismo analogo basato su firme digitali a livello applicativo. Questa tesi si concentra sull'implementazione e sulla valutazione del primo di questi due approcci, in quanto all'apparenza meno intrusivo, dimostrando la fattibilità tecnica dell'integrazione del RFC 8705 all'interno di un prodotto software esistente.