5.5. АУТЕНТИФИКАЦИЯ КЛИЕНТА

5.5.1. При динамической регистрации (см. подпункт 5.4.4.5) клиент может зарегистрировать метод аутентификации клиента, указав его идентификатор в качестве значения параметра <token_endpoint_auth_ method>. Если этот метод не зарегистрирован, по умолчанию используется метод "client_secret_basic". Можно использовать следующие варианты механизмов аутентификации:

- "client_secret_basic": аутентификация с использованием базовой схемы аутентификации HTTP и <client_secret>;

- "client_secret_post": аутентификация с включением учетных данных клиента в тело запроса и с использованием <client_secret>;

Примечание. Спецификации механизмов "client_secret_basic" и "client_secret_post" представлены в [10] (пункт 2.3.1).

- "client_secret_jwt": аутентификация с использованием структуры JWT на основе кода аутентификации HMAC и <client_secret> (см. пункт 5.5.2);

- "private_key_jwt": аутентификация с использованием структуры JWT на основе цифровой подписи (см. пункт 5.5.3);

- "tls_client_auth": аутентификация с использованием TLS с взаимной аутентификацией и PKI для связывания сертификата с клиентом (см. пункт 5.5.4);

- "self_signed_tls_client_auth": аутентификация с использованием TLS с взаимной аутентификацией и самоподписанного сертификата клиента (см. пункт 5.5.5);

- "none": клиент не аутентифицирует себя в конечной точке токена либо потому, что он использует только неявный сценарий аутентификации (и поэтому не использует конечную точку токена), либо потому, что он является публичным клиентом без <client_secret>, либо используется другой механизм аутентификации.

В реализациях настоящего стандарта допускается использование механизмов аутентификации клиента "client_secret_basic", "client_secret_post" и "none" только в тестовом режиме.