10.3. Explicit Endpoints (Explizite Endpunkte)
10.3. Explicit Endpoints (Explizite Endpunkte)
Obwohl dieses Dokument sie nicht verlangt, weisen Untersuchungen wie [BASIN] darauf hin, dass es gute Praxis ist, die beabsichtigten Interaktionsendpunkte und die Nachrichtenposition in der Sequenz manipulationssicher explizit anzugeben, damit die Absicht des Initiators eindeutig ist. Dieses Dokument EMPFIEHLT diese Praxis für die folgenden in [RFC6749], [RFC6750] und [RFC8414] definierten Endpunkte:
(a) Geschützte Ressourcen (protected_resources)
(b) Autorisierungs-Endpunkt (authorization_endpoint)
(c) Redirect-URI (redirect_uri)
(d) Token-Endpunkt (token_endpoint)
Wird dynamische Discovery genutzt, gilt diese Praxis auch für die discovery-bezogenen Endpunkte.
In [RFC6749] ist zwar die Redirect-URI in der Autorisierungsanfrage enthalten, andere genannte Endpunkte jedoch nicht. Entsprechendes gilt für das Authorization Request Object.