Zum Hauptinhalt springen

12. Referenzen (References)

12.1. Normative Referenzen

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, März 1997.

[RFC2246] Dierks, T. und C. Allen, "The TLS Protocol Version 1.0", RFC 2246, Januar 1999.

[RFC2616] Fielding, R., Gettys, J., Mogul, J., Frystyk, H., Masinter, L., Leach, P. und T. Berners-Lee, "Hypertext Transfer Protocol -- HTTP/1.1", RFC 2616, Juni 1999.

[RFC2617] Franks, J., Hallam-Baker, P., Hostetler, J., Lawrence, S., Leach, P., Luotonen, A. und L. Stewart, "HTTP Authentication: Basic and Digest Access Authentication", RFC 2617, Juni 1999.

[RFC2818] Rescorla, E., "HTTP Over TLS", RFC 2818, Mai 2000.

[RFC3629] Yergeau, F., "UTF-8, a transformation format of ISO 10646", STD 63, RFC 3629, November 2003.

[RFC3986] Berners-Lee, T., Fielding, R. und L. Masinter, "Uniform Resource Identifier (URI): Generic Syntax", STD 66, RFC 3986, Januar 2005.

[RFC4627] Crockford, D., "The application/json Media Type for JavaScript Object Notation (JSON)", RFC 4627, Juli 2006.

[RFC4949] Shirey, R., "Internet Security Glossary, Version 2", RFC 4949, August 2007.

[RFC5226] Narten, T. und H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 5226, Mai 2008.

[RFC5234] Crocker, D. und P. Overell, "Augmented BNF for Syntax Specifications: ABNF", STD 68, RFC 5234, Januar 2008.

[RFC5246] Dierks, T. und E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.2", RFC 5246, August 2008.

[RFC6125] Saint-Andre, P. und J. Hodges, "Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS)", RFC 6125, März 2011.

[USASCII] American National Standards Institute, "Coded Character Set -- 7-bit American Standard Code for Information Interchange", ANSI X3.4, 1986.

[W3C.REC-html401-19991224] Raggett, D., Le Hors, A. und I. Jacobs, "HTML 4.01 Specification", W3C Recommendation REC-html401-19991224, Dezember 1999, http://www.w3.org/TR/1999/REC-html401-19991224.

[W3C.REC-xml-20081126] Bray, T., Paoli, J., Sperberg-McQueen, C., Maler, E. und F. Yergeau, "Extensible Markup Language (XML) 1.0 (Fifth Edition)", W3C Recommendation REC-xml-20081126, November 2008, http://www.w3.org/TR/2008/REC-xml-20081126.

12.2. Informative Referenzen

[OAuth-HTTP-MAC] Hammer-Lahav, E., Ed., "HTTP Authentication: MAC Access Authentication", Work in Progress, Februar 2012.

[OAuth-SAML2] Campbell, B. und C. Mortimore, "SAML 2.0 Bearer Assertion Profiles for OAuth 2.0", Work in Progress, September 2012.

[OAuth-THREATMODEL] Lodderstedt, T., Ed., McGloin, M. und P. Hunt, "OAuth 2.0 Threat Model and Security Considerations", Work in Progress, Oktober 2012.

[OAuth-WRAP] Hardt, D., Ed., Tom, A., Eaton, B. und Y. Goland, "OAuth Web Resource Authorization Profiles", Work in Progress, Januar 2010.

[RFC5849] Hammer-Lahav, E., "The OAuth 1.0 Protocol", RFC 5849, April 2010.

[RFC6750] Jones, M. und D. Hardt, "The OAuth 2.0 Authorization Framework: Bearer Token Usage", RFC 6750, Oktober 2012.

Appendix A. Augmented Backus-Naur Form (ABNF) Syntax

Dieser Abschnitt beschreibt die ABNF-Syntax der in dieser Spezifikation definierten Elemente unter Verwendung der Notation aus [RFC5234]. Die folgende ABNF ist in Unicode-Codepunkten [W3C.REC-xml-20081126] definiert; diese Zeichen werden typischerweise in UTF-8 codiert. Die Elemente erscheinen in der Reihenfolge ihrer ersten Definition. Einige Definitionen verwenden die Definition "URI-reference" aus [RFC3986].

Gemeinsame Definitionen:

VSCHAR     = %x20-7E
NQCHAR = %x21 / %x23-5B / %x5D-7E
NQSCHAR = %x20-21 / %x23-5B / %x5D-7E
UNICODECHARNOCRLF = %x09 /%x20-7E / %x80-D7FF /
%xE000-FFFD / %x10000-10FFFF

UNICODECHARNOCRLF basiert auf der Char-Definition in Abschnitt 2.2 von [W3C.REC-xml-20081126], lässt jedoch Carriage Return und Linefeed weg.

client-id     = *VSCHAR
client-secret = *VSCHAR

response-type = response-name *( SP response-name )
response-name = 1*response-char
response-char = "_" / DIGIT / ALPHA

scope = scope-token *( SP scope-token )
scope-token = 1*NQCHAR

state = 1*VSCHAR
redirect-uri = URI-reference
error = 1*NQSCHAR
error-description = 1*NQSCHAR
error-uri = URI-reference

grant-type = grant-name / URI-reference
grant-name = 1*name-char
name-char = "-" / "." / "_" / DIGIT / ALPHA

code = 1*VSCHAR
access-token = 1*VSCHAR
token-type = type-name / URI-reference
type-name = 1*name-char
expires-in = 1*DIGIT
username = *UNICODECHARNOCRLF
password = *UNICODECHARNOCRLF
refresh-token = 1*VSCHAR

param-name = 1*name-char

Appendix B. Verwendung des Medientyps application/x-www-form-urlencoded

Zum Zeitpunkt der Veröffentlichung war der Medientyp "application/x-www-form-urlencoded" in Abschnitt 17.13.4 von [W3C.REC-html401-19991224] definiert, aber nicht im IANA MIME Media Types Registry registriert. Außerdem war diese Definition unvollständig, da sie Nicht-US-ASCII-Zeichen nicht berücksichtigt.

Um diese Lücke beim Erzeugen von Payloads mit diesem Medientyp zu schließen, müssen Namen und Werte zuerst mit UTF-8 [RFC3629] codiert werden; die resultierende Oktettfolge wird anschließend mit den Escape-Regeln aus [W3C.REC-html401-19991224] weiter codiert.

Beim Parsen von Daten aus einem Payload dieses Typs müssen die nach Umkehrung der name/value-Codierung erhaltenen Namen und Werte folglich als Oktettfolgen behandelt und mit UTF-8 decodiert werden.

Beispiel: Der Wert aus den sechs Unicode-Codepunkten U+0020, U+0025, U+0026, U+002B, U+00A3 und U+20AC wird zunächst als folgende Oktettfolge codiert:

20 25 26 2B C2 A3 E2 82 AC

und danach im Payload so dargestellt:

+%25%26%2B%C2%A3%E2%82%AC

Appendix C. Danksagungen

Die ursprüngliche OAuth-2.0-Protokollspezifikation wurde von David Recordon herausgegeben und basierte auf zwei früheren Veröffentlichungen: der OAuth-1.0-Community-Spezifikation [RFC5849] und OAuth WRAP [OAuth-WRAP]. Eran Hammer bearbeitete anschließend viele Zwischenentwürfe, aus denen diese RFC entstand. Der Abschnitt Security Considerations wurde von Torsten Lodderstedt, Mark McGloin, Phil Hunt, Anthony Nadalin und John Bradley entworfen. Der Abschnitt zur Verwendung des Medientyps "application/x-www-form-urlencoded" wurde von Julian Reschke entworfen. Der ABNF-Abschnitt wurde von Michael B. Jones entworfen.

Die OAuth-1.0-Community-Spezifikation wurde von Eran Hammer herausgegeben und von Mark Atwood, Dirk Balfanz, Darren Bounds, Richard M. Conlan, Blaine Cook, Leah Culver, Breno de Medeiros, Brian Eaton, Kellan Elliott-McCrea, Larry Halff, Eran Hammer, Ben Laurie, Chris Messina, John Panzer, Sam Quigley, David Recordon, Eran Sandler, Jonathan Sergent, Todd Sieling, Brian Slesinsky und Andy Smith verfasst.

Die OAuth-WRAP-Spezifikation wurde von Dick Hardt herausgegeben und von Brian Eaton, Yaron Y. Goland, Dick Hardt und Allen Tom verfasst.

Diese Spezifikation ist die Arbeit der OAuth Working Group mit vielen aktiven und engagierten Teilnehmenden. Viele Personen trugen Ideen, Rückmeldungen und Formulierungen bei, darunter Michael Adams, Amanda Anganes, Andrew Arnott, Dirk Balfanz, John Bradley, Brian Campbell, Blaine Cook, Leah Culver, Brian Eaton, Eran Hammer, Dick Hardt, Phil Hunt, Michael B. Jones, Torsten Lodderstedt, Anthony Nadalin, Julian Reschke, Peter Saint-Andre, Nat Sakimura, Justin Richer, Allen Tom und viele andere.

Dieses Dokument entstand unter dem Vorsitz von Blaine Cook, Peter Saint-Andre, Hannes Tschofenig, Barry Leiba und Derek Atkins. Zu den Area Directors gehörten Lisa Dusseault, Peter Saint-Andre und Stephen Farrell.

Adresse des Autors

Dick Hardt (editor)
Microsoft

EMail: [email protected]
URI: http://dickhardt.org/