Anhang A. Verwendung mit Proof-of-Possession-Tokens

Bei Bearer-Tokens, wie sie in OAuth 2.0 Bearer Token Usage [RFC6750] definiert sind, ist die geschützte Ressource im Besitz des gesamten geheimen Teils des Tokens, um ihn beim Introspektionsdienst einzureichen. Bei Tokens im Proof-of-Possession-Stil verfügt die geschützte Ressource jedoch nur über einen Token-Identifikator, der während der Anforderung verwendet wird, sowie über die kryptografische Signatur der Anforderung. Um die Signatur der Anforderung zu validieren, könnte die geschützte Ressource in der Lage sein, den Token-Identifikator an den Introspektionsendpunkt des Autorisierungsservers zu übermitteln, um die für dieses Token erforderlichen Schlüsselinformationen zu erhalten. Die Einzelheiten dieser Verwendung liegen außerhalb des Geltungsbereichs dieser Spezifikation und werden in einer entsprechenden Begleitspezifikation definiert.