2.1. PKI Mutual-TLS Method (PKI mutual-TLS 方法)

2.1 PKI Mutual-TLS Method (PKI mutual-TLS 方法)

PKI (public key infrastructure, 公钥基础设施) 方式的 mutual-TLS OAuth 客户端认证遵循 X.509 证书用于认证的传统用法. 它依赖经校验的证书链 [RFC5280] 以及单个 subject distinguished name (主题可分辨名, DN) 或单个 subject alternative name (主题备用名, SAN) 来认证客户端. 每个客户端仅使用一种类型的单个主题名值. TLS 握手用于验证客户端持有证书中公钥对应私钥, 并校验相应证书链. 若证书中的主题信息与为该特定客户端配置或注册的单个预期主题匹配, 则客户端认证成功 (注意: 将证书的主题 DN 与客户端注册的 DN 比较时, 需要对 DN 值采用可预期的处理, 例如 [RFC4517] 中的 distinguishedNameMatch 规则). PKI 方法下可以进行撤销检查, 但是否以及如何检查证书撤销状态属于部署决策, 由授权服务器酌情决定. 客户端可从受信任的 certificate authority (证书颁发机构, CA) 获得具有相同主题的新证书, 从而轮换其 X.509 证书而无需修改授权服务器处的相应认证数据.