跳到主要内容

2. Pushed Authorization Request Endpoint (推送式授权请求端点)

2. Pushed Authorization Request Endpoint (推送式授权请求端点)

推送式授权请求端点 (pushed authorization request endpoint) 是位于授权服务器上的 HTTP API, 接受在 HTTP 请求消息体中使用 application/x-www-form-urlencoded 格式携带参数的 HTTP POST 请求. 该格式的字符编码为 UTF-8, 见 [RFC6749] 附录 B. PAR 端点 URL 必须使用 https 方案.

支持 PAR 的授权服务器应在其授权服务器元数据文档 [RFC8414] 中使用第 5 节定义的 pushed_authorization_request_endpoint 参数纳入其推送式授权请求端点的 URL.

该端点接受 [RFC6749] 为授权端点定义的授权请求参数, 以及为授权端点定义的所有适用扩展. 此类扩展示例包括 Proof Key for Code Exchange (代码交换证明密钥, PKCE) [RFC7636], Resource Indicators (资源指示符) [RFC8707] 与 OpenID Connect (OIDC) [OIDC]. 端点也可以支持按照 [RFC9101] 与本文档第 3 节将授权请求参数集作为 Request Object 发送.

针对令牌端点请求在 [RFC6749] 中定义的客户端认证规则, 包括适用的认证方法, 同样适用于 PAR 端点. 若适用, 客户端元数据参数 token_endpoint_auth_method [RFC7591] 指示客户端在向授权服务器 (包括对 PAR 端点) 发起直接请求时所应使用的已注册认证方法. 同样, 授权服务器元数据 [RFC8414] 参数 token_endpoint_auth_methods_supported 列出授权服务器在接受来自客户端的直接请求 (包括对 PAR 端点的请求) 时所支持的客户端认证方法.

由于历史原因, 在使用基于 JWT 客户端断言的认证 ([RFC7523] 第 2.2 节定义, 按 [OIDC] 第 9 节的方法名 private_key_jwtclient_secret_jwt) 时, 应使用何种 audience (受众) 值可能存在歧义. 为消除该歧义, 应按 [RFC8414] 使用授权服务器的 issuer identifier URL (签发者标识 URL) 作为 audience 的值. 为促进互操作性, 授权服务器必须接受其签发者标识, 令牌端点 URL 或推送式授权请求端点 URL 作为将其标识为预期受众的值.

参见 2.1. Request (请求), 2.2. Successful Response (成功响应), 2.3. Error Response (错误响应)2.4. Management of Client Redirect URIs (客户端重定向 URI 的管理).

最后 更新