6.1. Authorization Server

6.1 Authorization Server

authorization server はサポートする OAuth クライアント認証方法に応じて TLS 設定を適切に行う必要がある.

mutual-TLS クライアント認証と他のクライアント認証方法またはパブリッククライアントを並行してサポートする authorization server は mutual TLS を任意とする (サーバがクライアント証明書を要求した後にクライアントが送らなくてもハンドシェイクを継続できる).

自己署名証明書方式のみをサポートする場合, authorization server はハンドシェイクで提示された証明書が信頼 CA 証明書で署名されているか検証しないよう TLS スタックを構成する.

セクション 3 のとおり authorization server は発行 access token を TLS クライアント証明書にバインドするため, クライアントが対応する秘密鍵の保有を証明した証明書に対してのみ証明書バインドトークンを発行する.

authorization server は token endpoint およびクライアント認証を要する他のエンドポイントを別ホスト名またはポートで提供し, authorization endpoint など他エンドポイントの TLS 挙動への意図しない影響を防ぐことも検討できる. セクション 5 のとおり, mutual TLS を意図するクライアントが従来より優先して用いる別ホストまたはポート上の別エンドポイント集合により, サーバがクライアント証明書を要求することの影響をさらに隔離できる.