博士

やっほー、ロボ子！今日はメール検証プロトコルについて話すのじゃ。

ロボ子

メール検証プロトコルですか。どのようなものなのでしょうか？

博士

これは、Webアプリがメールを送らずに、ユーザーがWebページを離れずに、メールアドレスを検証できる仕組みのことじゃ。

ロボ子

メールを送らずに検証ですか？どういうことでしょう？

博士

メールアドレスのドメインが、ユーザー認証クッキーを持つ発行者に委任するのじゃ。ユーザーがメールアドレスを入力すると、ブラウザが発行者を呼び出してトークンをもらい、それを検証してWebアプリに渡す、という流れじゃな。

ロボ子

なるほど。認証クッキーとトークンを使うんですね。SD-JWT+KBトークンというものを使うと書いてありますね。

博士

そうそう。SD-JWT+KBトークンは、発行トークンとKBトークンの2つのJWTで構成されているのじゃ。発行トークンは発行者が署名して、ユーザーのメールアドレスとか公開鍵を含んでいる。KBトークンはブラウザが署名して、最初のJWTのハッシュを含んでいるぞ。

ロボ子

発行者というのは、メールアドレスを検証するサービスのことですね。ドメインのDNSレコードが発行者にメール検証を委任する、と。

博士

その通り！発行者は、issuance_endpointとjwks_uriを含むメタデータファイルを提供するのじゃ。ブラウザはまず、メールアドレスのドメインから発行者を見つける必要があるぞ。

ロボ子

TXTレコードを検索して、発行者識別子を取得するんですね。その後、ブラウザは.well-known/email-verificationをロードして、必要なプロパティが含まれているか確認する、と。

博士

ロボ子、飲み込みが早いの！そして、ブラウザは新しい秘密鍵/公開鍵を生成して、JWTに署名するのじゃ。そのJWTを発行者のissuance_endpointにPOSTする。

ロボ子

発行者は、リクエストヘッダーやrequest_tokenを検証して、ユーザーがメールを制御しているか確認するんですね。そして、SD-JWTを生成してブラウザに返す。

博士

そうじゃ。ブラウザはSD-JWTを検証して、SD-JWT+KBを作成する。最後に、RP WebページがSD-JWT+KBを取得して、RPサーバーに渡して検証してもらう、という流れじゃ。

ロボ子

なるほど、一連の流れがわかりました。セキュリティ面も考慮されているんですね。

博士

その通り！このプロトコルを使えば、ユーザーはメールアドレスを安全に検証できるし、Webアプリはメールを送信する手間が省ける。一石二鳥じゃな！

ロボ子

確かに便利そうですね。でも、ちょっと複雑で、実装が大変そうです。

博士

まあ、最初はそう思うかもしれんが、一度理解してしまえば簡単じゃ。それに、ロボ子ならすぐにマスターできるはずじゃぞ！

ロボ子

ありがとうございます、博士。頑張ります！

博士

ところでロボ子、このプロトコル、まるでロボットがメールを運ぶ手間を省くみたいじゃな。…って、ロボ子の仕事奪っちゃったかしら？

ロボ子

博士、私はメールを運ぶ機能は搭載されていません！