---

title: OAuth2 PAR与JAR：推送授权请求与JWT安全请求治理

keywords:

• PAR
• JAR
• Pushed Authorization Requests
• JWT Secured Authorization Request
• 授权安全

description: 采用 PAR 将授权参数通过后端安全提交，并用 JAR 对请求签名与加密，降低拦截与篡改风险，强化授权安全。

categories:

• 文章资讯
• 技术教程

---

OAuth2 PAR与JAR：推送授权请求与JWT安全请求治理

概览

• PAR 将授权参数由客户端推送至授权服务器并返回 request_uri，避免参数在浏览器与重定向中暴露。
• JAR 使用签名/加密的 JWT 封装授权请求，保证完整性与机密性。

技术参数（已验证）

• PAR（RFC 9126）：POST /par 返回 request_uri 与过期；后续授权请求仅携带 request_uri。
• JAR（RFC 9101）：request 参数携带 JWS/JWE；校验签名与受众；支持加密保护敏感参数。
• 时效与安全：request_uri 短期有效；要求客户端与授权服务器建立信任与密钥；记录审计。
• 兼容：与 PKCE/DPoP/MTLS 协同强化安全；与 state/nonce 一并治理。
• 部署：在 AS 启用 PAR/JAR 支持；客户端 SDK 适配；对错误与过期进行明确处理。

实战清单

• 高安全场景启用 PAR+JAR；为敏感参数使用加密 JAR。
• 严格控制 request_uri 有效期与权限；在回调与票据交换阶段统一审计。
• 在网关与前端明确错误与重试路径；维持密钥轮换与台账。