Ricevo il flusso OAuth e PKI di base e i diversi attori coinvolti, ma non sono ancora sicuro di come le chiavi pubbliche / private possano avere un ruolo.
Quando un cliente si identifica al momento della registrazione con una chiave pubblica certificata, quella chiave è legata al token di accesso?
prereqs:
Vedi questa domanda per una panoramica generale di come funziona OAuth.
Vedi questa domanda per una panoramica generale di come SSL chiave pubblica / TLS funziona.
Vedi questa domanda per una panoramica generale di come i certificati SSL si riferiscono all'identità.
La carne della questione:
I sistemi a chiave pubblica / privata possono essere utilizzati per fornire tre tipi di servizi:
Tecnicamente, nessuno dei tre servizi di cui sopra è necessario per il corretto funzionamento di un sistema OAuth: è molto possibile creare un sistema OAuth che non utilizzi affatto chiavi pubbliche / private.
Detto questo, i sistemi OAuth si affideranno spesso alla proprietà 1 dei sistemi di chiavi pubbliche / private per garantire che la comunicazione relativa a OAuth sia crittografata, solitamente costruendo protocolli di comunicazione in aggiunta ai sistemi esistenti basati su TLS / SSL. Inoltre, si affidano spesso alla proprietà 3 per fornire la verifica dell'identità su un solo lato, solitamente facendo affidamento su componenti browser esterni incorporati, che implicitamente svolgono tale funzione.
Leggi altre domande sui tag oauth public-key-infrastructure