9. 资源服务器 (Resource Servers)

为了使RS能够执行在授权过程中批准的授权详情,AS必须(MUST)使该数据对RS可用。AS可以(MAY)将authorization_details字段添加到JSON Web Token (JWT)格式的访问令牌或令牌内省响应中。

9.1. 基于JWT的访问令牌 (JWT-Based Access Tokens)

如果访问令牌是JWT[RFC7519],建议(RECOMMENDED)AS将授权详情对象(过滤到特定受众)作为顶级声明添加。AS通常还会向JWT添加RS处理请求所需的其他声明,例如用户ID、角色和特定于事务的数据。特定RS需要哪些声明由RS与AS的特定策略定义。

9.2. 令牌内省 (Token Introspection)

令牌内省[RFC7662]为RS提供了一种查询AS以确定有关访问令牌的信息的方法。如果AS在其响应中包含令牌的授权详情信息,则必须(MUST)将该信息作为内省响应JSON对象的顶级成员使用authorization_details传达。authorization_details成员必须(MUST)包含第2节中定义的相同结构,可能针对发出内省请求的RS进行过滤和扩展。