3. Security Considerations (Sicherheitsaspekte)
3. Security Considerations (Sicherheitsaspekte)
Ein audience-beschränktes Zugriffstoken, das einer Ressource rechtmäßig vorgelegt wird, kann anschließend nicht von dieser Ressource mitgenommen und andernorts für unrechtmäßigen Zugriff auf andere Ressourcen verwendet werden. Der Parameter resource ermöglicht es einem Client, die geschützten Ressourcen anzugeben, in denen das angeforderte Zugriffstoken genutzt wird, wodurch der Autorisierungsserver die angemessenen Audience-Einschränkungen auf das Token anwenden kann.
Einige Server hosten Nutzerinhalte oder sind mandantenfähig (multi-tenant). Um Angriffe zu vermeiden, bei denen ein Mandant ein Zugriffstoken nutzt, um unrechtmäßig auf Ressourcen eines anderen Mandanten zuzugreifen, ist es wichtig, einen spezifischen Ressourcen-URI zu verwenden, einschließlich aller URI-Teile, die den Mandanten identifizieren, etwa einer Pfadkomponente. So können Zugriffstoken audience-beschränkt werden, sodass der Mandant identifiziert wird und ihre Nutzung an Ressourcen anderer Mandanten aufgrund ungültiger Audience verhindert wird.
Obwohl mehrere Vorkommen des Parameters resource in einer Token-Anfrage enthalten sein dürfen, wird die Verwendung nur eines einzelnen resource-Parameters empfohlen. Hat ein Bearer-Token mehrere beabsichtigte Empfänger (Audiences), ist das Token an mehr als einer geschützten Ressource gültig und kann von einer dieser Ressourcen genutzt werden, um auf eine beliebige andere zuzugreifen. Daher ist bei Zugriffstoken mit mehreren Audiences ein hohes Maß an Vertrauen zwischen den beteiligten Parteien erforderlich. Darüber hinaus kann ein Autorisierungsserver unwillig oder unfähig sein, eine Token-Anfrage mit mehreren Ressourcen zu erfüllen.
Wann immer möglich, SOLLTE der Parameter resource dem netzwerkadressierbaren Ort der geschützten Ressource entsprechen. So kann der Client prüfen, dass die angeforderte Ressource den entsprechenden Netzwerkort kontrolliert, und das Risiko verringern, dass bösartige Endpunkte Tokens erhalten, die für andere Ressourcen bestimmt sind. Enthält der Parameter resource einen abstrakten Identifikator, obliegt es dem Client, außerband zu prüfen, dass jeder Netzwerkendpunkt, an den Tokens gesendet werden, die beabsichtigte Audience für diesen Identifikator ist.