2. Pushed Authorization Request Endpoint (Endpoint PAR)
2. Pushed Authorization Request Endpoint (Endpoint PAR)
L’endpoint pushed authorization request è un’API HTTP sul server di autorizzazione che accetta richieste POST con parametri nel corpo del messaggio in formato application/x-www-form-urlencoded. Il formato usa UTF-8 come nell’appendice B di [RFC6749]. L’URL dell’endpoint PAR DEVE usare lo schema https.
I server di autorizzazione che supportano PAR DOVREBBERO indicare l’URL del loro endpoint PAR nei metadati del server [RFC8414] con il parametro pushed_authorization_request_endpoint definito nella sezione 5.
L’endpoint accetta i parametri di richiesta di autorizzazione definiti in [RFC6749] per l’endpoint di autorizzazione e tutte le estensioni applicabili. Esempi: Proof Key for Code Exchange (PKCE) [RFC7636], resource indicators [RFC8707] e OpenID Connect (OIDC) [OIDC]. L’endpoint PUÒ anche supportare l’invio dell’insieme dei parametri come Request Object secondo [RFC9101] e la sezione 3 di questo documento.
Le regole di autenticazione del client definite in [RFC6749] per le richieste all’endpoint del token, inclusi i metodi applicabili, valgono anche per l’endpoint PAR. Se presente, il parametro di metadati del client token_endpoint_auth_method [RFC7591] indica il metodo di autenticazione registrato che il client usa per le richieste dirette al server di autorizzazione, incluso l’endpoint PAR. Analogamente, token_endpoint_auth_methods_supported nei metadati del server [RFC8414] elenca i metodi di autenticazione del client supportati per le richieste dirette, incluso l’endpoint PAR.
Per ragioni storiche, con autenticazione JWT client assertion (sezione 2.2 di [RFC7523], nomi di metodo private_key_jwt o client_secret_jwt come nella sezione 9 di [OIDC]) la scelta dell’audience può essere ambigua. Per chiarezza si DOVREBBE usare l’URL dell’issuer identifier del server secondo [RFC8414] come audience. Per interoperabilità il server DEVE accettare come audience valide la propria issuer ID, l’URL dell’endpoint del token o l’URL dell’endpoint PAR.
Vedere 2.1. Request (Richiesta), 2.2. Successful Response (Risposta con successo), 2.3. Error Response (Risposta di errore) e 2.4. Management of Client Redirect URIs (URI di reindirizzamento del client).