6.2. JWS-Signed Request Object (JWS 署名付きリクエストオブジェクト)

認可サーバは JWS 署名付き [RFC7515] Request Object の署名を検証しなければならない. kid ヘッダパラメータがある場合, 識別された鍵が用いられた鍵でなければならず, かつクライアントに関連付けられた鍵でなければならない. 署名はクライアントに関連付けられた鍵と alg ヘッダパラメータで指定されたアルゴリズムを用いて検証しなければならない. アルゴリズム検証は [RFC8725] のセクション 3.1 および 3.2 に従って行わなければならない.

鍵がクライアントに関連付けられていないか, 署名検証に失敗した場合, 認可サーバは認可リクエストに対する応答としてクライアントに invalid_request_object エラーを返さなければならない.