5. Sicherheitsüberlegungen

Viele der Leitlinien aus Abschnitt 10 von [RFC6749], den Sicherheitsüberlegungen im OAuth 2.0-Autorisierungsframework, sind auch hier anwendbar. Darüber hinaus bietet [RFC6819] zusätzliche Sicherheitsüberlegungen für OAuth, und [OAUTH-SECURITY] hat aktualisierte Sicherheitsleitlinien basierend auf der Bereitstellungserfahrung und neuen Bedrohungen, die seit der ursprünglichen Veröffentlichung von OAuth 2.0 aufgetaucht sind.

Alle normalen Sicherheitsprobleme, die in [JWT] erörtert werden, insbesondere in Bezug auf den Vergleich von URIs und den Umgang mit nicht erkannten Werten, gelten auch hier.

Darüber hinaus führen sowohl Delegierung als auch Identitätswechsel einzigartige Sicherheitsprobleme ein. Jedes Mal, wenn einem Prinzipal die Rechte eines anderen Prinzipals übertragen werden, ist das Missbrauchspotenzial ein Anliegen. Die Verwendung des "scope"-Claims (zusätzlich zu anderen typischen Einschränkungen wie einer begrenzten Token-Lebensdauer) wird vorgeschlagen, um das Potenzial für solchen Missbrauch zu mindern, da es die Kontexte einschränkt, in denen die delegierten Rechte ausgeübt werden können.