Passa al contenuto principale

9. Server di Risorse (Resource Servers)

Per consentire all'RS di applicare i dettagli di autorizzazione come approvati nel processo di autorizzazione, l'AS DEVE rendere questi dati disponibili all'RS. L'AS PUÒ aggiungere il campo authorization_details ai token di accesso in formato JSON Web Token (JWT) o alle risposte di ispezione del token.

9.1. Token di Accesso Basati su JWT (JWT-Based Access Tokens)

Se il token di accesso è un JWT [RFC7519], si RACCOMANDA (RECOMMENDED) che l'AS aggiunga l'oggetto dei dettagli di autorizzazione, filtrato per l'audience specifica, come claim di livello superiore. L'AS aggiungerà tipicamente anche ulteriori claim al JWT che l'RS richiede per l'elaborazione della richiesta, ad esempio, ID utente, ruoli e dati specifici della transazione. Quali claim l'RS particolare richiede è definito dalla politica specifica dell'RS con l'AS.

9.2. Ispezione del Token (Token Introspection)

L'ispezione del token [RFC7662] fornisce un mezzo per un RS di interrogare l'AS per determinare informazioni su un token di accesso. Se l'AS include informazioni sui dettagli di autorizzazione per il token nella sua risposta, le informazioni DEVONO essere trasmesse con authorization_details come membro di livello superiore dell'oggetto JSON della risposta di ispezione. Il membro authorization_details DEVE contenere la stessa struttura definita nella Sezione 2, potenzialmente filtrata ed estesa per l'RS che effettua la richiesta di ispezione.

Ultimo aggiornamento il