2. Pushed Authorization Request Endpoint (プッシュ型認可リクエストエンドポイント)
2. Pushed Authorization Request Endpoint (プッシュ型認可リクエストエンドポイント)
pushed authorization request エンドポイントは認可サーバ上の HTTP API であり, application/x-www-form-urlencoded 形式で HTTP リクエストメッセージボディにパラメータを載せた HTTP POST リクエストを受け付ける. この形式の文字エンコーディングは UTF-8 である ([RFC6749] 付録 B). PAR エンドポイント URL は https スキームを用いなければならない (MUST).
PAR をサポートする認可サーバは, 第 5 節で定義する pushed_authorization_request_endpoint パラメータを用いて, 認可サーバメタデータドキュメント [RFC8414] にプッシュ型認可リクエストエンドポイントの URL を含めるべきである (SHOULD).
当該エンドポイントは, [RFC6749] が認可エンドポイント向けに定義する認可リクエストパラメータ, および認可エンドポイント向けに定義されたすべての適用可能な拡張を受け付ける. その例として Proof Key for Code Exchange (PKCE) [RFC7636], Resource Indicators [RFC8707], OpenID Connect (OIDC) [OIDC] がある. エンドポイントは [RFC9101] および本ドキュメント第 3 節に従い, 認可リクエストパラメータの集合を Request Object として送ることも許容される (MAY).
[RFC6749] がトークンエンドポイントリクエスト向けに定義するクライアント認証の規則, 適用可能な認証方式を含むものは, PAR エンドポイントにも適用される. 該当する場合, クライアントメタデータパラメータ token_endpoint_auth_method [RFC7591] は, 認可サーバへの直接リクエスト (PAR エンドポイントへのリクエストを含む) に用いる登録済み認証方式を示す. 同様に, 認可サーバメタデータ [RFC8414] パラメータ token_endpoint_auth_methods_supported は, クライアントからの直接リクエスト (PAR エンドポイントへのリクエストを含む) を受け付ける際に認可サーバがサポートするクライアント認証方式を列挙する.
歴史的経緯により, JWT クライアントアサーションに基づく認証 ([RFC7523] 第 2.2 節で定義, [OIDC] 第 9 節の private_key_jwt または client_secret_jwt 方式名) を用いる際の適切な audience 値について曖昧さが生じうる. その曖昧さを解消するため, [RFC8414] に従う認可サーバの issuer identifier URL を audience の値として用いるべきである (SHOULD). 相互運用性のため, 認可サーバは, 意図された audience として自身を識別する値として, 自身の issuer 識別子, トークンエンドポイント URL, または pushed authorization request エンドポイント URL を受け入れなければならない (MUST).
2.1. Request (リクエスト), 2.2. Successful Response (成功レスポンス), 2.3. Error Response (エラーレスポンス), 2.4. Management of Client Redirect URIs (クライアントリダイレクト URI の管理) を参照のこと.