2. Pushed Authorization Request Endpoint (Point de terminaison PAR)
2. Pushed Authorization Request Endpoint (Point de terminaison PAR)
Le point de terminaison pushed authorization request est une API HTTP sur le serveur d'autorisation qui accepte des requêtes HTTP POST dont les paramètres figurent dans le corps du message au format application/x-www-form-urlencoded. Ce format utilise l'encodage UTF-8, comme décrit dans l'annexe B de [RFC6749]. L'URL du point de terminaison PAR DOIT utiliser le schéma https.
Les serveurs d'autorisation prenant en charge PAR DEVRAIENT inclure l'URL de leur point de terminaison pushed authorization request dans leur document de métadonnées du serveur d'autorisation [RFC8414] au moyen du paramètre pushed_authorization_request_endpoint défini à la section 5.
Le point de terminaison accepte les paramètres de requête d'autorisation définis dans [RFC6749] pour le point de terminaison d'autorisation ainsi que toutes les extensions applicables définies pour ce point de terminaison. Parmi les exemples figurent Proof Key for Code Exchange (PKCE) [RFC7636], les indicateurs de ressource [RFC8707] et OpenID Connect (OIDC) [OIDC]. Le point de terminaison PEUT également prendre en charge l'envoi de l'ensemble des paramètres de requête d'autorisation sous forme de Request Object conformément à [RFC9101] et à la section 3 du présent document.
Les règles d'authentification client définies dans [RFC6749] pour les requêtes vers le point de terminaison de jeton, y compris les méthodes d'authentification applicables, s'appliquent aussi au point de terminaison PAR. Le cas échéant, le paramètre de métadonnées client token_endpoint_auth_method [RFC7591] indique la méthode d'authentification enregistrée que le client doit utiliser pour les requêtes directes vers le serveur d'autorisation, y compris vers le point de terminaison PAR. De même, le paramètre de métadonnées du serveur d'autorisation token_endpoint_auth_methods_supported [RFC8414] énumère les méthodes d'authentification client prises en charge par le serveur d'autorisation pour les requêtes directes des clients, y compris vers le point de terminaison PAR.
Pour des raisons historiques, il peut exister une ambiguïté sur la valeur d'audience appropriée lors de l'utilisation de l'authentification par assertion client JWT (définie dans la section 2.2 de [RFC7523] avec les noms de méthode private_key_jwt ou client_secret_jwt selon la section 9 de [OIDC]). Pour lever cette ambiguïté, l'URL d'identifiant d'émetteur du serveur d'autorisation selon [RFC8414] DEVRAIT être utilisée comme valeur d'audience. Afin de faciliter l'interopérabilité, le serveur d'autorisation DOIT accepter son identifiant d'émetteur, l'URL du point de terminaison de jeton ou l'URL du point de terminaison pushed authorization request comme valeurs l'identifiant comme audience prévue.
Voir 2.1. Request (Requête), 2.2. Successful Response (Réponse réussie), 2.3. Error Response (Réponse d'erreur) et 2.4. Management of Client Redirect URIs (Gestion des URI de redirection).