跳到主要内容

Appendix B. Relationship to Token Binding (附录 B. 与 Token Binding 的关系)

Appendix B. Relationship to Token Binding (附录 B. 与 Token Binding 的关系)

OAuth 2.0 Token Binding [TOKEN] 支持将 Token Binding 应用于 OAuth 中使用的各类构件与令牌. 其中包括将 access token 绑定到 Token Binding 密钥, 其在动机与设计方面与本文档定义的 mutual-TLS 客户端证书绑定 access token 有若干相似之处. 两份文档都定义了通常称为 access token 的 proof-of-possession (持有证明) 安全机制: 客户端在访问受保护资源时必须证明持有密码学密钥材料. 细节在两份文档之间略有不同, 但两者都使授权服务器将其颁发的 access token 绑定到客户端持有的非对称密钥对. 客户端随后针对访问受保护资源的 TLS 连接证明持有该密钥对中的私钥.

Token Binding 使用在客户端生成的裸密钥, 避免了创建, 分发与管理本规范所用证书的许多困难. 然而, 在撰写时 Token Binding 相对较新, 在可用的应用开发平台与工具中支持较少. 在对底层核心 Token Binding 规范有更好的支持之前, OAuth 2.0 Token Binding 的实际实现不可行. 另一方面, mutual TLS 已存在一段时间, 在 Web 服务器与开发平台中得到广泛支持. 因此, OAuth 2.0 Mutual-TLS Client Authentication and Certificate-Bound Access Tokens 可使用现有平台与工具立即构建与部署. 将来, 两份规范可能在不同环境中并行部署以解决类似问题. 授权服务器甚至可同时支持两份规范, 对颁发给不同客户端的令牌使用不同的持有证明机制.

最后 更新