2. Pushed Authorization Request Endpoint (PAR-Endpunkt)
2. Pushed Authorization Request Endpoint (PAR-Endpunkt)
Der Endpunkt für pushed authorization requests ist eine HTTP-API des Autorisierungsservers, die POST-Anfragen mit Parametern im Nachrichtenkörper im Format application/x-www-form-urlencoded akzeptiert. Das Format verwendet UTF-8 gemäß Anhang B von [RFC6749]. Die PAR-Endpunkt-URL MUSS das Schema https verwenden.
Autorisierungsserver mit PAR-Unterstützung SOLLTEN die URL ihres PAR-Endpunkts in den Server-Metadaten [RFC8414] mit dem Parameter pushed_authorization_request_endpoint aus Abschnitt 5 angeben.
Der Endpunkt akzeptiert die in [RFC6749] für den Autorisierungsendpunkt definierten Parameter sowie alle zutreffenden Erweiterungen. Beispiele sind Proof Key for Code Exchange (PKCE) [RFC7636], Ressourcenindikatoren [RFC8707] und OpenID Connect (OIDC) [OIDC]. Der Endpunkt KANN außerdem die Übergabe der Autorisierungsanfrageparameter als Request Object gemäß [RFC9101] und Abschnitt 3 dieses Dokuments unterstützen.
Die Regeln zur Client-Authentifizierung aus [RFC6749] für Token-Endpunkt-Anfragen, einschließlich der anwendbaren Methoden, gelten auch für den PAR-Endpunkt. Gegebenenfalls gibt der Client-Metadatenparameter token_endpoint_auth_method [RFC7591] die registrierte Authentifizierungsmethode für direkte Anfragen an den Autorisierungsserver (einschließlich PAR) an. Entsprechend listet token_endpoint_auth_methods_supported in den Server-Metadaten [RFC8414] die unterstützten Client-Authentifizierungsmethoden auf.
Aus historischen Gründen kann bei JWT-Client-Assertion-Authentifizierung (Abschnitt 2.2 von [RFC7523], Methodennamen private_key_jwt oder client_secret_jwt gemäß Abschnitt 9 von [OIDC]) die Audience-Wahl mehrdeutig sein. Zur Klärung SOLL die Issuer-Identifier-URL des Servers gemäß [RFC8414] als Audience verwendet werden. Zur Interoperabilität MUSS der Server seine Issuer-ID, die Token-Endpunkt-URL oder die PAR-Endpunkt-URL als gültige Audience-Werte akzeptieren.
Siehe 2.1. Request (Anfrage), 2.2. Successful Response (Erfolgreiche Antwort), 2.3. Error Response (Fehlerantwort) und 2.4. Management of Client Redirect URIs (Client-Redirect-URIs).