Zum Hauptinhalt springen

5.2.1. URI Referencing the Request Object (URI mit Verweis auf das Anfrageobjekt)

5.2.1. URI Referencing the Request Object (URI mit Verweis auf das Anfrageobjekt)

Der Client speichert die Request-Object-Ressource lokal oder remote unter einer URI, die der Autorisierungsserver erreichen kann. Eine solche Einrichtung kann vom Autorisierungsserver oder einer vertrauenswürdigen dritten Partei bereitgestellt werden. Beispielsweise kann der Autorisierungsserver eine URL bereitstellen, an die der Client das Request Object per POST sendet und die Request URI erhält. Diese URI ist die Request Object URI, request_uri.

Das Request Object kann Werte enthalten, die nur dem Autorisierungsserver offengelegt werden sollen. Daher MUSS die request_uri für ihre Lebensdauer angemessene Entropie aufweisen, sodass die URI bei öffentlicher Abrufbarkeit nicht erratbar ist. Hinweise finden sich in Abschnitt 5.1.4.2.2 von [RFC6819] und in „Good Practices for Capability URLs“ [CapURLs]. Es wird EMPFOHLEN, die request_uri nach angemessenem Timeout zu entfernen, sofern keine Zugriffskontrollmaßnahmen ergriffen werden.

Das folgende Beispiel zeigt einen Wert der Request Object URI (Zeilenumbrüche innerhalb von Werten nur zur Darstellung). In diesem Beispiel hostet ein vertrauenswürdiger Drittanbieter das Request Object.

https://tfp.example.org/request.jwt/
  GkurKxf5T0Y-mnPFCHqWOMiZi4VS138cQO_V7PZHAdM
Letztes Update am