OAuth2 PAR与JAR：推送授权请求与JWT安全请求治理

--- title: OAuth2 PAR与JAR：推送授权请求与JWT安全请求治理 keywords: - PAR - JAR - Pushed Authorization Requests - JWT Secured Authorization Request - 授权安全 description: 采用 PAR 将授权参数通过后端安全提交，并用 JAR 对请求签名与加密，降低拦截与篡改风险，强化授权安全。 categories: - 文章资讯 - 技术教程 --- # OAuth2 PAR与JAR：推送授权请求与JWT安全请求治理 ## 概览 - PAR 将授权参数由客户端推送至授权服务器并返回 `request_uri`，避免参数在浏览器与重定向中暴露。 - JAR 使用签名/加密的 JWT 封装授权请求，保证完整性与机密性。 ## 技术参数（已验证） - PAR（RFC 9126）：`POST /par` 返回 `request_uri` 与过期；后续授权请求仅携带 `request_uri`。 - JAR（RFC 9101）：`request` 参数携带 JWS/JWE；校验签名与受众；支持加密保护敏感参数。 - 时效与安全：`request_uri` 短期有效；要求客户端与授权服务器建立信任与密钥；记录审计。 - 兼容：与 PKCE/DPoP/MTLS 协同强化安全；与 `state/nonce` 一并治理。 - 部署：在 AS 启用 PAR/JAR 支持；客户端 SDK 适配；对错误与过期进行明确处理。 ## 实战清单 - 高安全场景启用 PAR+JAR；为敏感参数使用加密 JAR。 - 严格控制 `request_uri` 有效期与权限；在回调与票据交换阶段统一审计。 - 在网关与前端明确错误与重试路径；维持密钥轮换与台账。