9. リソースサーバー (Resource Servers)

RSが認可プロセスで承認された認可詳細を実施できるようにするために、ASはこのデータをRSに利用可能にしなければなりません(MUST)。ASは、JSON Web Token (JWT)形式のアクセストークンまたはトークンイントロスペクションレスポンスにauthorization_detailsフィールドを追加する場合があります(MAY)。

9.1. JWTベースのアクセストークン (JWT-Based Access Tokens)

アクセストークンがJWT[RFC7519]である場合、ASは、特定のオーディエンスにフィルタリングされた認可詳細オブジェクトを、トップレベルのクレームとして追加することが推奨されます(RECOMMENDED)。ASは通常、ユーザーID、ロール、トランザクション固有のデータなど、RSがリクエスト処理に必要とする追加のクレームもJWTに追加します。特定のRSが必要とするクレームは、ASとのRS固有のポリシーによって定義されます。

9.2. トークンイントロスペクション (Token Introspection)

トークンイントロスペクション[RFC7662]は、RSがASにクエリしてアクセストークンに関する情報を判断する手段を提供します。ASがレスポンスにトークンの認可詳細情報を含める場合、その情報は、イントロスペクションレスポンスJSONオブジェクトのトップレベルメンバーとしてauthorization_detailsで伝えられなければなりません(MUST)。authorization_detailsメンバーは、イントロスペクションリクエストを行っているRSに対してフィルタリングおよび拡張される可能性のある、セクション2で定義されたのと同じ構造を含まなければなりません(MUST)。