跳到主要内容

9. 资源服务器 (Resource Servers)

为了使 RS 能够执行授权过程中批准的授权详情, AS MUST 将该数据提供给 RS. AS MAY 将 authorization_details 字段添加到 JSON Web Token (JWT) 格式的访问令牌中, 或添加到令牌内省响应中.

9.1. 基于 JWT 的访问令牌 (JWT-Based Access Tokens)

如果访问令牌是 JWT [RFC7519], AS RECOMMENDED 将已按特定受众过滤的授权详情对象作为顶层声明添加进去. AS 通常还会向 JWT 添加 RS 处理请求所需的其他声明, 例如用户 ID、角色和事务特定数据. 特定 RS 需要哪些声明由该 RS 与 AS 之间的 RS 特定策略定义.

9.2. 令牌内省 (Token Introspection)

令牌内省 [RFC7662] 为 RS 提供了一种查询 AS 以确定访问令牌相关信息的方法. 如果 AS 在其响应中包含该令牌的授权详情信息, 该信息 MUST 通过 authorization_details 作为内省响应 JSON 对象的顶层成员传达. authorization_details 成员 MUST 包含第 2 节定义的相同结构, 并且可能已针对发出内省请求的 RS 进行过滤和扩展.