Obtengo el flujo básico de OAuth y PKI y los diferentes actores involucrados, pero todavía no estoy seguro de cómo juegan un papel las claves públicas / privadas.
Cuando un cliente se identifica al registrarse con una clave pública certificada, ¿está esa clave vinculada al token de acceso?
Prereqs:
Consulte esta pregunta para obtener una descripción general de cómo funciona OAuth.
Consulte esta pregunta para obtener una descripción general de cómo la clave pública SSL / TLS funciona.
Consulte esta pregunta para obtener una descripción general de cómo los certificados SSL se relacionan con la identidad.
La carne del asunto:
Los sistemas de clave pública / privada pueden utilizarse para proporcionar tres tipos de servicios:
Técnicamente, ninguno de los tres servicios anteriores son necesarios para que un sistema OAuth funcione correctamente; es muy posible crear un sistema OAuth que no use claves públicas / privadas para nada, en absoluto.
Dicho esto, los sistemas OAuth a menudo dependen de la propiedad 1 de los sistemas de clave pública / privada para garantizar que la comunicación relacionada con OAuth esté cifrada, generalmente mediante la creación de protocolos de comunicación sobre los sistemas basados en TLS / SSL existentes. Con frecuencia, también se basarán en la propiedad 3 para proporcionar una verificación de identidad de un solo lado, generalmente confiando en componentes externos integrados en el navegador, que implícitamente realizan esa función.
Lea otras preguntas en las etiquetas oauth public-key-infrastructure