Passa al contenuto principale

6.1. Authorization Server (Server di autorizzazione)

6.1. Authorization Server (Server di autorizzazione)

L'authorization server deve configurare TLS in modo appropriato per i metodi di autenticazione client OAuth che supporta.

Un authorization server che supporta l'autenticazione client mutual-TLS insieme ad altri metodi di autenticazione client o client pubblici renderebbe mutual TLS opzionale (cioè consentirebbe che l'handshake continui dopo che il server ha richiesto un client certificate ma il client non ne invia).

Per supportare da solo il metodo Self-Signed Certificate, l'authorization server configurerebbe lo stack TLS in modo da non verificare se il certificato presentato dal client durante l'handshake è firmato da un certificato CA attendibile.

Come descritto nella sezione 3, l'authorization server vincola l'access token rilasciato al TLS client certificate, il che significa che rilascerà token vincolati al certificato solo per un certificato per cui il client ha dimostrato il possesso della corrispondente chiave privata.

L'authorization server può anche valutare di ospitare il token endpoint e altri endpoint che richiedono autenticazione client su un hostname o porta separati per evitare effetti indesiderati sul comportamento TLS degli altri endpoint, ad es. l'authorization endpoint. Come descritto nella sezione 5, può ulteriormente isolare qualsiasi impatto potenziale della richiesta di certificati client offrendo un insieme distinto di endpoint su host o porta separati, che sono alias degli originali che un client che intende usare mutual TLS preferirà agli endpoint convenzionali.

Ultimo aggiornamento il