6.1. Authorization Server (授权服务器)

6.1 Authorization Server (授权服务器)

授权服务器需要根据其支持的 OAuth 客户端认证方法适当设置 TLS 配置.

若授权服务器同时支持 mutual-TLS 客户端认证与其他客户端认证方法或公共客户端, 应将 mutual TLS 设为可选 (即允许在服务器请求客户端证书但客户端未发送时握手仍继续).

为仅支持自签名证书方法, 授权服务器会以不验证握手中客户端出示的证书是否由受信任 CA 证书签名的方式配置 TLS 栈.

如第 3 节所述, 授权服务器将颁发的 access token 绑定到 TLS 客户端证书, 这意味着其仅对客户端已证明持有对应私钥的证书颁发证书绑定令牌.

授权服务器还可考虑将 token endpoint 及其他需要客户端认证的端点托管在单独的主机名或端口上, 以免对其其他端点 (例如 authorization endpoint (授权端点)) 的 TLS 行为产生意外影响. 如第 5 节所述, 还可通过在单独主机或端口上提供一组作为原端点别名的不同端点, 进一步隔离服务器请求客户端证书可能带来的影响, 打算进行 mutual TLS 的客户端将优先使用这些别名端点.