6.2. Resource Server (Server delle risorse)

6.2. Resource Server (Server delle risorse)

OAuth suddivide ruoli e responsabilità in modo che il server delle risorse si affidi al server di autorizzazione per eseguire l'autenticazione del client e ottenere l'autorizzazione del titolare della risorsa (utente finale). Il server delle risorse prende decisioni di autorizzazione in base al token di accesso presentato dal client ma non autentica direttamente il client in quanto tale. Il modo in cui un token di accesso è vincolato al certificato del client e come una risorsa protetta verifica la prova di possesso (proof-of-possession) disaccoppia ciò dal metodo specifico usato dal client per autenticarsi presso il server di autorizzazione. Il mutual TLS durante l'accesso alla risorsa protetta può quindi servire unicamente come meccanismo di prova di possesso. Non è quindi necessario che il server delle risorse convalidi la catena di attendibilità del certificato del client in nessuno dei metodi definiti in questo documento. Il server delle risorse configurerebbe pertanto lo stack TLS in modo da non verificare se il certificato presentato dal client durante l'handshake è firmato da un certificato di CA attendibile.