Zum Hauptinhalt springen

4. Public Clients and Certificate-Bound Tokens (Öffentliche Clients)

4. Public Clients and Certificate-Bound Tokens (Öffentliche Clients)

Mutual-TLS-OAuth-Client-Authentifizierung und zertifikatsgebundene Access Tokens sind unabhängig voneinander nutzbar. Zertifikatsgebundene Access Tokens ohne Mutual-TLS-OAuth-Client-Authentifizierung sind etwa möglich, um Tokens an ein TLS-Clientzertifikat für Public Clients (ohne dem client_id zugeordnete Authentifizierungs-Credentials) zu binden. Der Authorization Server konfiguriert den TLS-Stack wie bei der Selbstsigniert-Methode, sodass nicht geprüft wird, ob das Clientzertifikat von einer vertrauenswürdigen CA signiert ist. Client-Instanzen erzeugen selbstsignierte Zertifikate für Mutual TLS mit Authorization- und Resource-Server. Der Authorization Server nutzt das Mutual-TLS-Zertifikat nicht zur OAuth-Schicht-Authentifizierung, bindet aber das ausgestellte Access Token an das Zertifikat, für das der Client den privaten Schlüssel nachgewiesen hat. Das Token ist gebunden und nur mit Zertifikat, privatem Schlüssel und Mutual TLS zum Resource Server nutzbar. Wird ein Refresh Token ausgestellt, SOLLTE der Authorization Server es ebenfalls an das jeweilige Zertifikat binden und die Bindung bei Vorlage prüfen. Details der Refresh-Token-Bindung liegen im Ermessen des Authorization Servers.

Letztes Update am