Zum Hauptinhalt springen

3.2. Confirmation Method for Token Introspection (Introspection-Bestätigung)

3.2 Confirmation Method for Token Introspection (Introspection-Bestätigung)

OAuth-2.0-Token-Introspection [RFC7662] definiert ein Verfahren, mit dem eine geschützte Ressource den Authorization Server zum Aktivitätsstatus eines Access Tokens und zu Metainformationen befragen kann.

Bei einem Mutual-TLS-zertifikatsgebundenen Access Token wird der Hash des gebundenen Zertifikats der geschützten Ressource als Metainformation in der Introspection-Antwort übermittelt. Der Hash nutzt dieselbe cnf-Struktur mit x5t#S256 wie in Abschnitt 3.1 als Top-Level-Mitglied der Introspection-JSON-Antwort. Die geschützte Ressource vergleicht diesen Hash mit dem Hash des für Mutual-TLS verwendeten Clientzertifikats und lehnt bei Abweichung ab.

Nachfolgend ein Beispiel einer Introspection-Antwort für ein aktives Token mit x5t#S256. Neu ist das cnf-Objekt am Ende mit dem Hash des Clientzertifikats.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "active": true,
  "iss": "https://server.example.com",
  "sub": "[email protected]",
  "exp": 1493726400,
  "nbf": 1493722800,
  "cnf":{
    "x5t#S256": "bwcK0esc3ACC3DB2Y5_lESsXE8o9ltc05O89jdN-dg2"
  }
}

Abbildung 3: Beispiel-Introspection-Antwort für zertifikatsgebundenes Access Token

Letztes Update am