2.2. Self-Signed Certificate Mutual-TLS Method (自签名证书 mutual-TLS 方法)

2.2 Self-Signed Certificate Mutual-TLS Method (自签名证书 mutual-TLS 方法)

本 mutual-TLS OAuth 客户端认证方法旨在支持使用 self-signed certificate (自签名证书) 进行客户端认证. 作为先决条件, 客户端使用 [RFC7591] 中定义的 jwks 向授权服务器注册其 X.509 证书, 或使用 jwks_uri 注册指向其 X.509 证书可信源的引用. 在认证过程中, TLS 用于验证客户端在相应 TLS 握手中出示的证书内公钥所对应私钥的持有情况. 与 PKI 方法相反, 此情形下服务器不校验客户端的证书链. 若握手中出示的证书与该特定客户端配置或注册的证书之一匹配, 则客户端认证成功. 自签名证书方法允许使用 mutual TLS 认证客户端而无需维护 PKI. 若与客户端的 jwks_uri 联用, 还允许客户端轮换其 X.509 证书而无需直接向授权服务器更改相应认证数据.

2.2 Self-Signed Certificate Mutual-TLS Method (自签名证书 mutual-TLS 方法)​

2.2 Self-Signed Certificate Mutual-TLS Method (自签名证书 mutual-TLS 方法)