Aller au contenu principal

6.1. Authorization Server (Serveur d'autorisation)

6.1. Authorization Server (Serveur d'autorisation)

Le serveur d'autorisation doit configurer TLS de manière appropriée pour les méthodes d'authentification client OAuth qu'il prend en charge.

Un serveur d'autorisation qui prend en charge l'authentification client mutual-TLS et d'autres méthodes d'authentification client ou des clients publics en parallèle rendrait mutual TLS optionnel (c'est-à-dire permettrait à la poignée de main de continuer après que le serveur a demandé un certificat client mais que le client n'en envoie pas).

Pour prendre en charge uniquement la méthode du certificat auto-signé, le serveur d'autorisation configurerait la pile TLS de manière à ne pas vérifier si le certificat présenté par le client pendant la poignée de main est signé par un certificat CA de confiance.

Comme décrit à la section 3, le serveur d'autorisation lie le jeton d'accès délivré au certificat client TLS, ce qui signifie qu'il ne délivrera des jetons liés au certificat que pour un certificat pour lequel le client a prouvé la possession de la clé privée correspondante.

Le serveur d'autorisation peut également envisager d'héberger le point de terminaison de jeton et d'autres points de terminaison exigeant l'authentification client sur un nom d'hôte ou un port distincts afin d'éviter tout impact involontaire sur le comportement TLS de ses autres points de terminaison, par ex. le point de terminaison d'autorisation. Comme décrit à la section 5, il peut en outre isoler tout impact potentiel de la demande de certificats client en proposant un ensemble distinct de points de terminaison sur un hôte ou un port séparés, qui sont des alias des originaux qu'un client ayant l'intention d'utiliser mutual TLS préférera aux points de terminaison conventionnels.

Dernière mise à jour le