3.2. Confirmation Method for Token Introspection (令牌内省的确认方法)

3.2 Confirmation Method for Token Introspection (令牌内省的确认方法)

OAuth 2.0 Token Introspection (令牌内省) [RFC7662] 定义了一种方法, 使受保护资源可向授权服务器查询 access token 的 active (活动) 状态并确定关于令牌的元信息.

对于 mutual-TLS 客户端证书绑定的 access token, 令牌所绑定证书的哈希作为令牌内省响应中的元信息传达给受保护资源. 哈希使用与第 3.1 节所述证书 SHA-256 指纹确认方法相同的带 x5t#S256 成员的 cnf 结构, 作为内省响应 JSON 的顶层成员. 受保护资源将该证书哈希与用于 mutual-TLS 认证的客户端证书的哈希比较, 若不匹配则拒绝请求.

以下为主动令牌且带 x5t#S256 证书指纹确认方法的内省响应示例. 本规范引入的新内省响应内容为示例底部的 cnf 确认方法, 其带有 x5t#S256 确认方法成员, 值为 access token 所绑定客户端证书的哈希.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "active": true,
  "iss": "https://server.example.com",
  "sub": "[email protected]",
  "exp": 1493726400,
  "nbf": 1493722800,
  "cnf":{
    "x5t#S256": "bwcK0esc3ACC3DB2Y5_lESsXE8o9ltc05O89jdN-dg2"
  }
}

图 3: 证书绑定 access token 的内省响应示例

3.2 Confirmation Method for Token Introspection (令牌内省的确认方法)​

3.2 Confirmation Method for Token Introspection (令牌内省的确认方法)