5. Compatibility Notes (Kompatibilitätshinweise)

Die Identifikatoren /.well-known/openid-configuration, "op_policy_uri" und "op_tos_uri" enthalten Zeichenketten, die auf die OpenID Connect [OpenID.Core] Spezifikationsfamilie verweisen, die ursprünglich von "OpenID Connect Discovery 1.0" [OpenID.Discovery] definiert wurden. Obwohl diese scheinbar OpenID-spezifischen Identifikatoren wiederverwendet werden, bezieht sich ihre Verwendung in dieser Spezifikation tatsächlich auf eine allgemeine OAuth 2.0-Funktionalität und ist nicht spezifisch für OpenID Connect.

Der in Abschnitt 3 definierte Algorithmus zur Transformation des Aussteller-Identifikators in den Standort der Autorisierungsserver-Metadaten entspricht der entsprechenden Transformation, die in Abschnitt 4 von "OpenID Connect Discovery 1.0" [OpenID.Discovery] definiert ist, vorausgesetzt, der Aussteller-Identifikator enthält keine Pfadkomponente. Sie unterscheiden sich jedoch, wenn eine Pfadkomponente vorhanden ist, da OpenID Connect Discovery 1.0 vorschreibt, dass die bekannte URI-Zeichenkette an den Aussteller-Identifikator angehängt wird (z. B. https://example.com/issuer1/.well-known/openid-configuration), während diese Spezifikation vorschreibt, dass die bekannte URI-Zeichenkette vor der Pfadkomponente des Aussteller-Identifikators eingefügt wird (z. B. https://example.com/.well-known/openid-configuration/issuer1).

In Zukunft sollten OAuth-Autorisierungsserver-Metadatenstandorte die in dieser Spezifikation definierte Transformation verwenden. Bei der Bereitstellung in bestehenden Umgebungen, die bereits die OpenID Connect Discovery 1.0-Transformation verwenden, kann es jedoch während einer Übergangszeit erforderlich sein, Metadaten an beiden Standorten für Aussteller-Identifikatoren zu veröffentlichen, die Pfadkomponenten enthalten. Während dieser Übergangszeit sollten Anwendungen zunächst die in dieser Spezifikation definierte Transformation anwenden und versuchen, die Autorisierungsserver-Metadaten vom resultierenden Standort abzurufen; erst wenn das Abrufen von diesem Standort fehlschlägt, sollten sie auf den Versuch zurückfallen, vom alternativen Standort abzurufen, der unter Verwendung der von OpenID Connect Discovery 1.0 definierten Transformation erhalten wurde. Dieses Abwärtskompatibilitätsverhalten ist nur erforderlich, wenn das von der Anwendung verwendete bekannte URI-Suffix "openid-configuration" ist.