6.1. Authorization Server (Autorisierungsserver)

6.1 Authorization Server (Autorisierungsserver)

Der Authorization Server muss seine TLS-Konfiguration an die unterstützten OAuth-Client-Authentifizierungsmethoden anpassen.

Unterstützt er Mutual-TLS-Client-Authentifizierung parallel zu anderen Methoden oder Public Clients, sollte Mutual TLS optional sein (Handshake kann fortgesetzt werden, wenn nach Clientzertifikat gefragt wurde, der Client aber keines sendet).

Zur alleinigen Unterstützung der Selbstsigniert-Methode konfiguriert der Authorization Server den TLS-Stack so, dass nicht geprüft wird, ob das Clientzertifikat von einer vertrauenswürdigen CA signiert ist.

Wie in Abschnitt 3 beschrieben, bindet der Authorization Server ausgestellte Access Tokens an das TLS-Clientzertifikat und stellt zertifikatsgebundene Tokens nur aus, wenn der Client den Besitz des privaten Schlüssels nachgewiesen hat.

Er kann Token Endpoint und andere clientauthentifizierungspflichtige Endpunkte auf separate Hostnamen oder Ports legen, um Auswirkungen auf andere Endpunkte (z. B. Authorization Endpoint) zu vermeiden. Wie in Abschnitt 5 beschrieben, kann er durch getrennte Alias-Endpunkte die Auswirkungen der Clientzertifikatsanforderung weiter isolieren.