Passa al contenuto principale

9. Resource Server-Provided Nonce (Nonce Fornito dal Server di Risorse)

9. Resource Server-Provided Nonce (Nonce Fornito dal Server di Risorse)

Anche i server di risorse possono scegliere di fornire un valore di nonce da includere nelle prove DPoP inviate. Il server di risorse fornisce il nonce utilizzando l'intestazione DPoP-Nonce allo stesso modo del server di autorizzazione (descritto nelle Sezioni 8 e 8.2). La segnalazione degli errori viene eseguita come descritto nella Sezione 7.1. Il server di risorse utilizza il codice di errore HTTP 401 (Non autorizzato) e i valori WWW-Authenticate: DPoP e DPoP-Nonce corrispondenti per ottenere ciò.

Ad esempio, in risposta a una richiesta di risorsa senza nonce, quando il server di risorse richiede un nonce, il server di risorse può restituire un valore DPoP-Nonce come il seguente per fornire un valore di nonce da includere nella prova DPoP. L'esempio seguente utilizza "\" per il ritorno a capo, secondo [RFC8792].

HTTP/1.1 401 Unauthorized
WWW-Authenticate: DPoP error="use_dpop_nonce", \
  error_description="Resource server requires nonce in DPoP proof"
DPoP-Nonce: eyJ7S_zG.eyJH0-Z.HX4w-7v

 Figura 24: Risposta HTTP 401 a una richiesta di risorsa senza nonce

Si noti che i nonce forniti dai server di autorizzazione e dai server di risorse sono distinti e non devono essere confusi l'uno con l'altro, poiché un nonce sarà accettato solo dal server che lo ha emesso. Allo stesso modo, se un client utilizza più server di autorizzazione o server di risorse, i nonce emessi da uno non dovrebbero essere utilizzati con l'altro se non con l'emittente. Gli sviluppatori dovrebbero anche fare attenzione a non confondere il nonce DPoP con il nonce del Token ID OpenID Connect [OpenID.Core].

Ultimo aggiornamento il