Zum Hauptinhalt springen

9. Ressourcenserver (Resource Servers)

Um es dem RS zu ermöglichen, die im Autorisierungsprozess genehmigten Autorisierungsdetails durchzusetzen, MUSS der AS diese Daten dem RS zur Verfügung stellen. Der AS KANN das authorization_details-Feld zu Zugriffstoken im JSON Web Token (JWT)-Format oder zu Token-Introspection-Antworten hinzufügen.

9.1. JWT-basierte Zugriffstoken (JWT-Based Access Tokens)

Wenn das Zugriffstoken ein JWT [RFC7519] ist, wird EMPFOHLEN (RECOMMENDED), dass der AS das Autorisierungsdetail-Objekt, gefiltert für das spezifische Publikum, als Top-Level-Claim hinzufügt. Der AS wird typischerweise auch weitere Claims zum JWT hinzufügen, die der RS für die Anfrageverarbeitung benötigt, z.B. Benutzer-ID, Rollen und transaktionsspezifische Daten. Welche Claims der jeweilige RS benötigt, wird durch die RS-spezifische Richtlinie mit dem AS definiert.

9.2. Token-Introspection (Token Introspection)

Token-Introspection [RFC7662] bietet ein Mittel für einen RS, den AS abzufragen, um Informationen über ein Zugriffstoken zu bestimmen. Wenn der AS Autorisierungsdetail-Informationen für das Token in seiner Antwort enthält, MÜSSEN die Informationen mit authorization_details als Top-Level-Member des Introspection-Antwort-JSON-Objekts übermittelt werden. Das authorization_details-Member MUSS dieselbe in Abschnitt 2 definierte Struktur enthalten, potenziell gefiltert und erweitert für den RS, der die Introspection-Anfrage stellt.

Letztes Update am