7.1.1. Сервер авторизации

Сервер авторизации должен (пункт 5.2.2 [11]) поддерживать положения, указанные в подразделе 7.2 [5].

Кроме того, сервер авторизации для всех операций:

- должен поддерживать только конфиденциальных клиентов для инициированных клиентом потоков аутентификации по отдельному каналу;

- должен обеспечивать однозначное определение требуемой для авторизации информации в запросе авторизации или требовать наличия <binding_message> в запросе аутентификации;

- не должен поддерживать режим Push;

- должен поддерживать режим Pool;

- может поддерживать режим Ping;

- должен поддерживать подписанные запросы аутентификации к конечной точке аутентификации по отдельному каналу (подпункт 6.3.1.1);

- должен требовать уровня аутентификации пользователя, соответствующего требованиям операций, которые клиент будет уполномочен выполнять от имени пользователя;

- должен, если он поддерживает класс контекста аутентификации, указанный через параметр <acr> в запросе клиента, возвращать указанное значение <acr> в запрашиваемом ID токене;

- должен требовать, чтобы подписанный запрос аутентификации содержал параметры <nbf> и <exp>, которые ограничивают время жизни запроса 60 минутами;

- может требовать от клиентов предоставить параметр <request_context>, как это определено в подразделе 7.2;

- не должен использовать <login_hint> или <login_hint_token> для передачи "идентификаторов намерений" или любых других метаданных авторизации.

Примечания:

1. Для целей настоящего стандарта <login_hint>, <login_hint_token> и <id_token_hint> используются только для определения конечного пользователя.

2. Профиль поддерживает только режимы Ping и Pool, поэтому получить токены доступа и при необходимости токены обновления можно только из конечной точки токена. В связи с этим применяются те же требования безопасности, что и определенные [5] для конечной точки токена.