Passa al contenuto principale

6.2. JWS-Signed Request Object (Oggetto firmato JWS)

6.2. JWS-Signed Request Object (Oggetto firmato JWS)

Il server di autorizzazione DEVE convalidare la firma del Request Object firmato con JWS [RFC7515]. Se è presente l'header kid, la chiave identificata DEVE essere quella usata e DEVE essere associata al client. La firma DEVE essere validata con una chiave associata al client e l'algoritmo nell'header alg. La verifica dell'algoritmo DEVE essere eseguita come nelle sezioni 3.1 e 3.2 di [RFC8725].

Se la chiave non è associata al client o la validazione della firma fallisce, il server DEVE restituire invalid_request_object al client.

Ultimo aggiornamento il