Authorization Server Metadata
RFC 8414 定義了 OAuth 2.0 Authorization Server Metadata 的標準格式與取得方式,於 2018 年發布。此規範是從 OpenID Connect Discovery 泛化而來的,將服務發現機制從 OIDC 擴展到一般的 OAuth 2.0 場景。
關於完整的 Metadata 欄位說明與實際範例,請參考 OIDC Discovery。本頁聚焦在 RFC 8414 相對於 OIDC 版本的差異。
與 OIDC Discovery 的差異
Section titled “與 OIDC Discovery 的差異”- 不同的 well-known 路徑——使用
/.well-known/oauth-authorization-server而非/.well-known/openid-configuration - 移除 OIDC 特有欄位——不包含
userinfo_endpoint、id_token_signing_alg_values_supported等 OIDC 相關的 metadata - 支援多 issuer——路徑可以帶 issuer path(
/.well-known/oauth-authorization-server/{issuer-path}),適用於一個 domain 下有多個 Authorization Server 的場景 - Fallback 機制——如果此端點回傳 404,Client 可以嘗試 OIDC 的
/.well-known/openid-configuration作為 fallback
應用場景:MCP Authorization
Section titled “應用場景:MCP Authorization”MCP(Model Context Protocol) 的授權機制使用 RFC 8414 作為服務發現的標準。MCP Client 向 Server 查詢 /.well-known/oauth-authorization-server 以取得 Authorization Endpoint、Token Endpoint、Registration Endpoint 等位置,再進行 Dynamic Client Registration 與 PKCE 授權流程。
詳細的 MCP 授權流程請參考 MCP Authorization 與 OAuth 2.1。