OAuth MTLS Sender Constrained Tokens
RFC 8705 mTLS bound access tokens.
Définition
mTLS client authentication au token endpoint utilise X.509 certificat client présenté pendant TLS handshake. Access token émis contient cnf (confirmation) avec x5t#S256 (SHA-256 thumbprint du cert). Resource Server vérifie que le cert présenté pendant mTLS de la request matche cnf. Alternative à DPoP pour token binding, plus simple côté implémentation mais nécessite mTLS partout.
Origine
IETF OAuth WG, RFC 8705 publié février 2020.
Usage
Largement adopté Open Banking UK FAPI 1.0 Advanced, Brazil Open Finance, secteurs financiers réglementés.
Termes liés
- mTLS — mécanisme sous-jacent.
- OAuth DPoP — alternative application layer.
- FAPI 1.0 — profil utilisateur.