Zum Hauptinhalt springen

11.2.1. Request Disclosure (Offenlegung der Anfrage)

11.2.1. Request Disclosure (Offenlegung der Anfrage)

Dieses Dokument erlaubt Erweiterungsparameter. Diese können potenziell sensible Informationen enthalten. Da URI-Abfrageparameter auf verschiedene Weise durchsickern können, vor allem über Referrer und Browser-Verlauf, SOLLTE der Client das Request Object mit JWE [RFC7516] verschlüsseln, wenn die Autorisierungsanfrage einen potenziell sensiblen Parameter enthält.

Wird die Request-Object-URI-Methode genutzt und enthält das Request Object personenbezogene oder sensible Daten, SOLLTE die request_uri nur einmal verwendet und kurzlebig sein und MUSS ausreichende Entropie für die geltenden Sicherheitsrichtlinien aufweisen, sofern das Request Object selbst nicht mit JWE [RFC7516] verschlüsselt ist. Angemessene Kurzlebigkeit und Entropie hängen von der Risikobewertung ab dem Wert der geschützten Ressource ab. Als allgemeine Orientierung gilt eine Gültigkeit von weniger als einer Minute und eine kryptografisch zufällige Komponente von mindestens 128 Bit zum Zeitpunkt der Abfassung dieses Dokuments.

Letztes Update am