Op basis van gedefinieerde toegangsregels kan al dan niet toegang verleend worden aan een Client Application (applicatie instantie) die daar om verzoekt. Hierbij worden achtereenvolgens de volgende stappen doorlopen:
...
De Authorization Server Metadata Response bevat doo.a. e de volgende attributen:
- issuer;
- token_endpoint;
- token_endpoint_auth_signing_alg_values_supported;
- jwks_uri;
- scopes_supported
...
| Authenticatie JWT Header waarden | ||
|---|---|---|
alg | vereist | RS512 |
typ | vereist | Vaste waarde: JWT. |
kid | optioneel | Hier wordt aangegeven welke sleutel is gebruikt om de JWS te beveiligen. Met deze parameter kan de initiator expliciet een sleutelwijziging signaleren naar de ontvanger. |
| Authenticatie JWT Claims | ||
|---|---|---|
iss | vereist | Issuer of uitgever van de JWT - de client_id van de client, zoals bepaald tijdens de registratie bij de Autorisatie Server. |
sub | vereist | De (technische) identifier van de gebruiker. Bij een applicatie is dit de |
aud | vereist | De Autorisatie Server "token URL" (De zelfde URL waar de JWT naar gestuurd wordt, zie volgend voorbeeld). |
iat | vereist | Tijdstempel voor wanneer de JWT is aangemaakt. |
exp | vereist | Verlooptijdstip voor verificatie van de JWT, uitgedrukt in seconden sinds het "tijdvak" (1970-01-01T00:00:00Z UTC). Deze tijd MAG in de toekomst niet meer dan vijf minuten duren. |
jti | vereist | Een nonce-tekenreekswaarde die deze verificatie-JWT uniek identificeert. |
...