Appendice A. Utilizzo con token a prova di possesso

Con i token bearer come quelli definiti da OAuth 2.0 Bearer Token Usage [RFC6750], la risorsa protetta avrà in suo possesso l'intera parte segreta del token per la sottomissione al servizio di introspezione. Tuttavia, per i token in stile proof-of-possession (prova di possesso), la risorsa protetta avrà solo un identificatore del token utilizzato durante la richiesta, insieme alla firma crittografica sulla richiesta. Per convalidare la firma sulla richiesta, la risorsa protetta potrebbe essere in grado di inviare l'identificatore del token all'endpoint di introspezione del server di autorizzazione per ottenere le informazioni chiave necessarie per quel token. I dettagli di questo utilizzo non rientrano nell'ambito di questa specifica e saranno definiti in un'appropriata specifica di accompagnamento.