6.2. Resource Server

6.2 Resource Server

OAuth は役割と責務を分離し, resource server は authorization server にクライアント認証とリソース所有者 (エンドユーザー) の認可を委ねる. resource server はクライアントが提示した access token に基づき認可判断を行うが, クライアント自体を直接認証するわけではない. access token をクライアント証明書にバインドする方法と保護リソースが proof-of-possession を検証する方法は, authorization server でのクライアント認証の具体的方法から切り離される. したがって保護リソースアクセス時の mutual TLS は純粋に proof-of-possession のメカニズムとして機能し得る. 本文書で定義するいずれの方法でも resource server がクライアント証明書の信頼チェーンを検証する必要はない. resource server はハンドシェイクで提示された証明書が信頼 CA で署名されているか検証しないよう TLS スタックを構成する.