6.2. Resource Server (Serveur de ressources)

6.2. Resource Server (Serveur de ressources)

OAuth répartit les rôles et responsabilités de sorte que le serveur de ressources s'appuie sur le serveur d'autorisation pour effectuer l'authentification client et obtenir l'autorisation du propriétaire de ressource (utilisateur final). Le serveur de ressources prend des décisions d'autorisation sur la base du jeton d'accès présenté par le client mais n'authentifie pas directement le client en tant que tel. La manière dont un jeton d'accès est lié au certificat client et dont une ressource protégée vérifie la preuve de possession découple cela de la méthode spécifique que le client a utilisée pour s'authentifier auprès du serveur d'autorisation. Mutual TLS lors de l'accès à la ressource protégée peut donc servir uniquement de mécanisme de preuve de possession. Il n'est donc pas nécessaire que le serveur de ressources valide la chaîne de confiance du certificat du client dans aucune des méthodes définies dans le présent document. Le serveur de ressources configurerait donc la pile TLS de manière à ne pas vérifier si le certificat présenté par le client pendant la poignée de main est signé par un certificat CA de confiance.