Aller au contenu principal

9. Serveurs de Ressources (Resource Servers)

Afin de permettre au RS d'appliquer les détails d'autorisation tels qu'approuvés dans le processus d'autorisation, l'AS DOIT rendre ces données disponibles au RS. L'AS PEUT ajouter le champ authorization_details aux jetons d'accès au format JSON Web Token (JWT) ou aux réponses d'introspection de jeton.

9.1. Jetons d'Accès Basés sur JWT (JWT-Based Access Tokens)

Si le jeton d'accès est un JWT [RFC7519], il est RECOMMANDÉ que l'AS ajoute l'objet de détails d'autorisation, filtré pour l'audience spécifique, en tant que revendication de niveau supérieur. L'AS ajoutera également typiquement d'autres revendications au JWT que le RS requiert pour le traitement de la demande, par exemple, l'ID utilisateur, les rôles et les données spécifiques à la transaction. Les revendications que le RS particulier requiert sont définies par la politique spécifique au RS avec l'AS.

9.2. Introspection de Jeton (Token Introspection)

L'introspection de jeton [RFC7662] fournit un moyen pour un RS d'interroger l'AS pour déterminer des informations sur un jeton d'accès. Si l'AS inclut des informations de détails d'autorisation pour le jeton dans sa réponse, les informations DOIVENT être transmises avec authorization_details en tant que membre de niveau supérieur de l'objet JSON de réponse d'introspection. Le membre authorization_details DOIT contenir la même structure définie dans la Section 2, potentiellement filtrée et étendue pour le RS effectuant la demande d'introspection.

Dernière mise à jour le