10.2. Request Source Authentication (请求来源认证)

10.2. Request Source Authentication (请求来源认证)

必须始终验证授权请求的来源. 可行方式包括:

(a) 校验 Request Object 的 JWS 签名.

(b) 若 JWE 使用对称加密, 校验对称密钥是否正确. 但若使用公钥加密, 加密本身不提供来源认证, 因任何一方均可向公钥加密.

(c) 校验 Request Object URI 的 TLS 服务器身份. 此情形下, 授权服务器必须事先知道客户端使用 Request Object URI 且仅客户端涵盖于 TLS 证书. 一般而言, 这并非可靠方法.

(d) 当授权服务器实现以 Request Object 换取 Request Object URI 的服务时, 必须执行客户端认证以接受 Request Object, 并将客户端标识绑定到所提供的 Request Object URI. 必须按 (a) 校验签名. 由于 Request Object URI 可重放, 其生存期必须短, 并最好一次性使用. Request Object URI 的熵必须足够大. 有效期长短与熵是否足够取决于所保护资源价值的风险评估. 一般指导为有效期少于一分钟, 且 Request Object URI 在撰写本规范时应包含至少 128 比特的密码学随机值.

(e) 当可信第三方服务以 Request Object 换取 Request Object URI 时, 必须按 (a) 校验签名. 此外, 第三方服务必须信任授权服务器, 且必须事先知道客户端也受其信任.