2.2. Self-Signed Certificate Mutual-TLS Method (Certificato self-signed)

2.2. Self-Signed Certificate Mutual-TLS Method (Metodo mutual-TLS con certificato self-signed)

Questo metodo di autenticazione client OAuth mutual-TLS è pensato per supportare l'autenticazione client mediante certificati self-signed. Come prerequisito, il client registra i propri certificati X.509 (usando jwks definito in [RFC7591]) o un riferimento a una fonte attendibile per i propri certificati X.509 (usando jwks_uri da [RFC7591]) presso l'authorization server. Durante l'autenticazione, TLS serve a convalidare il possesso da parte del client della chiave privata corrispondente alla chiave pubblica presentata nel certificato nel rispettivo TLS handshake. A differenza del metodo PKI, in questo caso la catena di certificati del client non viene convalidata dal server. Il client è autenticato con successo se il certificato che ha presentato durante il handshake corrisponde a uno dei certificati configurati o registrati per quel particolare client. Il metodo Self-Signed Certificate consente di usare mutual TLS per autenticare i client senza dover mantenere una PKI. Se usato insieme a un jwks_uri per il client, consente anche al client di ruotare i propri certificati X.509 senza dover modificare direttamente i rispettivi dati di autenticazione presso l'authorization server.