6.2. JWS-Signed Request Object (经 JWS 签名的请求对象)

授权服务器必须校验经 JWS 签名 [RFC7515] 的 Request Object 的签名. 若存在 kid 头参数, 所标识的密钥必须为实际使用的密钥, 且必须与客户端关联. 必须使用与客户端关联的密钥及 alg 头参数指定的算法验证签名. 必须按 [RFC8725] 第 3.1 与 3.2 节执行算法校验.

若密钥与客户端无关联或签名验证失败, 授权服务器必须在响应授权请求时向客户端返回 invalid_request_object 错误.