Passa al contenuto principale

3.2. Confirmation Method for Token Introspection (Metodo di conferma per introspezione del token)

3.2. Confirmation Method for Token Introspection (Metodo di conferma per introspezione del token)

OAuth 2.0 Token Introspection [RFC7662] definisce un metodo con cui una risorsa protetta può interrogare un server di autorizzazione sullo stato attivo di un token di accesso e determinare metainformazioni sul token.

Per un token di accesso vincolato al certificato client mutual-TLS, l'hash del certificato a cui il token è vincolato è comunicato alla risorsa protetta come metainformazione in una risposta di introspezione del token. L'hash è comunicato usando la stessa struttura di membro cnf con x5t#S256 del metodo di conferma impronta SHA-256 del certificato, descritto nella sezione 3.1, come membro di primo livello del JSON della risposta di introspezione. La risorsa protetta confronta tale hash del certificato con un hash del certificato client usato per l'autenticazione mutual-TLS e rifiuta la richiesta se non corrispondono.

Di seguito un esempio di risposta di introspezione per un token attivo con metodo di conferma impronta certificato x5t#S256. Il nuovo contenuto della risposta di introspezione introdotto da questa specifica è il metodo di conferma cnf in fondo all'esempio, che ha il membro di metodo di conferma x5t#S256 contenente il valore che è l'hash del certificato client a cui il token di accesso è vincolato.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "active": true,
  "iss": "https://server.example.com",
  "sub": "[email protected]",
  "exp": 1493726400,
  "nbf": 1493722800,
  "cnf":{
    "x5t#S256": "bwcK0esc3ACC3DB2Y5_lESsXE8o9ltc05O89jdN-dg2"
  }
}

Figura 3: Esempio di risposta di introspezione per un token di accesso vincolato al certificato

Ultimo aggiornamento il