3.3.1. Non-Textual Verification URI Optimization (Nicht-textuelle Verifizierungs-URI-Optimierung)
Wenn "verification_uri_complete" in der Autorisierungsantwort (Abschnitt 3.2) enthalten ist, KÖNNEN Clients diesen URI auf nicht-textuelle Weise unter Verwendung jeder Methode präsentieren, die dazu führt, dass der Browser mit dem URI geöffnet wird, wie z.B. mit QR (Quick Response) Codes oder NFC (Near Field Communication), um dem Benutzer das Eingeben des URI zu ersparen.
Aus Gründen der Benutzerfreundlichkeit wird EMPFOHLEN, dass Clients den textuellen Verifizierungs-URI ("verification_uri") für Benutzer anzeigen, die eine solche Abkürzung nicht verwenden können. Clients MÜSSEN weiterhin den "user_code" anzeigen, da der Autorisierungsserver vom Benutzer verlangen wird, ihn zu bestätigen, um Geräte eindeutig zu machen oder als Minderung von Remote-Phishing (siehe Abschnitt 5.4).
Wenn der Benutzer die Benutzerinteraktion durch Navigieren zu "verification_uri_complete" startet, wird die in Abschnitt 3.3 beschriebene Benutzerinteraktion weiterhin befolgt, mit der Optimierung, dass der Benutzer den "user_code" nicht eingeben muss. Der Server SOLLTE dem Benutzer den "user_code" anzeigen und ihn bitten zu überprüfen, ob er mit dem auf dem Gerät angezeigten "user_code" übereinstimmt, um zu bestätigen, dass er das richtige Gerät autorisiert. Wie zuvor sollte dem Benutzer zusätzlich zu Schritten zur Bestätigung der Geräteidentität auch die Wahl geboten werden, die Autorisierungsanfrage zu genehmigen oder abzulehnen.
+-------------------------------------------------+
| |
| Scannen Sie den QR-Code oder +------------+ |
| verwenden Sie einen Browser |[_].. . [_]| |
| auf einem anderen Gerät, | . .. . .| |
| besuchen Sie: | . . . ....| |
| https://example.com/device |. . . . | |
| |[_]. ... . | |
| Und geben Sie den Code ein: +------------+ |
| WDJB-MJHT |
| |
+-------------------------------------------------+
Abbildung 3: Beispiel für Benutzeranweisungen mit QR-Code-Darstellung
des vollständigen Verifizierungs-URI