10.7. Parameter Mismatches (Parameterabweichungen)

10.7. Parameter Mismatches (Parameterabweichungen)

Da OAuth-Parameterwerte an zwei Stellen gesendet werden – als normale OAuth-Parameter und als Request-Object-Claims – müssen Implementierungen Angriffe abwehren, die mit abweichenden Parameterwerten unbeabsichtigte Ergebnisse erzielen. Deshalb MÜSSEN die beiden Client-ID-Werte übereinstimmen, deshalb sind ausschließlich die Werte aus dem Request Object zu verwenden, und deshalb DÜRFEN weder request noch request_uri in einem Request Object vorkommen.