Aller au contenu principal

3.2. Confirmation Method for Token Introspection (Méthode de confirmation pour l'introspection de jeton)

3.2. Confirmation Method for Token Introspection (Méthode de confirmation pour l'introspection de jeton)

OAuth 2.0 Token Introspection [RFC7662] définit une méthode permettant à une ressource protégée d'interroger un serveur d'autorisation sur l'état actif d'un jeton d'accès ainsi que d'obtenir des méta-informations sur le jeton.

Pour un jeton d'accès lié au certificat client mutual-TLS, l'empreinte du certificat auquel le jeton est lié est transmise à la ressource protégée comme méta-information dans une réponse d'introspection de jeton. L'empreinte est transmise en utilisant la même structure de membre cnf avec x5t#S256 que la méthode de confirmation par empreinte SHA-256 du certificat, décrite à la section 3.1, comme membre de premier niveau du JSON de réponse d'introspection. La ressource protégée compare cette empreinte de certificat à une empreinte du certificat client utilisé pour l'authentification mutual-TLS et rejette la requête si elles ne correspondent pas.

Voici un exemple de réponse d'introspection pour un jeton actif avec une méthode de confirmation par empreinte de certificat x5t#S256. Le nouveau contenu de réponse d'introspection introduit par cette spécification est la méthode de confirmation cnf en bas de l'exemple, qui contient le membre de méthode de confirmation x5t#S256 avec la valeur qui est l'empreinte du certificat client auquel le jeton d'accès est lié.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "active": true,
  "iss": "https://server.example.com",
  "sub": "[email protected]",
  "exp": 1493726400,
  "nbf": 1493722800,
  "cnf":{
    "x5t#S256": "bwcK0esc3ACC3DB2Y5_lESsXE8o9ltc05O89jdN-dg2"
  }
}

Figure 3 : Exemple de réponse d'introspection pour un jeton d'accès lié au certificat

Dernière mise à jour le