6.2. Resource Server (资源服务器)

6.2 Resource Server (资源服务器)

OAuth 划分角色与职责, 使资源服务器依赖授权服务器执行客户端认证并获取 resource owner (资源所有者, 最终用户) 授权. 资源服务器基于客户端出示的 access token 做出授权决策, 但本身不直接认证客户端 per se (本身). access token 绑定到客户端证书的方式以及受保护资源如何验证 proof-of-possession (持有证明) 与客户端在授权服务器使用的具体认证方法解耦. 因此, 受保护资源访问期间的 mutual TLS 可纯粹作为持有证明机制. 因而, 在本文档定义的任何方法中, 资源服务器不必校验客户端证书的信任链. 资源服务器因此会以不验证握手中客户端出示的证书是否由受信任 CA 证书签名的方式配置 TLS 栈.