5.8.4.3. Метод подтверждения отпечатка сертификата с использованием интроспекции токена

Интроспекция токена OAuth 2.0 определяет способ, с помощью которого сервер ресурсов может запрашивать у сервера авторизации информацию о состоянии активности токена доступа, а также другую метаинформацию о токене доступа.

Для токена доступа, связанного с сертификатом MTLS, хэш-код сертификата, с которым связан токен, передается серверу защищенного ресурса в виде метаинформации в составе ответа интроспекции токена. Хэш-код передается с использованием того же параметра <cnf> с элементом, идентифицирующим метод подтверждения на основе хэш-функции, что и при использовании метода подтверждения отпечатка сертификата, описанного в подпункте 5.8.4.2, в качестве параметра верхнего уровня JSON ответа интроспекции. Сервер ресурсов сравнивает полученный таким образом хэш-код сертификата со значением хэш-кода, вычисленного на основе сертификата клиента, использованного для взаимной аутентификации сеанса TLS, и отклоняет запрос, если они не совпадают.

Примечания:

1. Дополнительные сведения о протоколе интроспекции токена доступа представлены в RFC 7662 [48].

2. Дополнительные сведения о методе подтверждения отпечатка сертификата с использованием интроспекции токена приведены в подразделе 3.2 [49].

Ниже приведен пример ответа интроспекции для активного токена с подтверждением отпечатка сертификата.

HTTP/1.1 200 OK Content-Type: application/json
{
	"active": true, "iss": "https://server.example.com", "sub": "ty.webb@example.com", "exp": 1493726400, "nbf": 1493722800, "jti": "9cb4a49ff647111b28320c914ca845a6ebe42e981bacc5fd0ecf92ae1ae60d75", "cnf":{ "x5t#St256": "bwcK0esc3ACC3DB2Y5 lESsXE8o9ltc05O89jdN-dg2" }
}

5.8.4.2. Метод подтверждения отпечатка сертификата с использованием JWT 5.8.4.4. Метаданные сервера авторизации и клиента для подтверждения отпечатка MTLS-сертификата