4. Authorization Request (Autorisierungsanfrage)
4. Authorization Request (Autorisierungsanfrage)
Der Client verwendet die vom Autorisierungsserver zurückgegebene request_uri zur Bildung der Autorisierungsanfrage gemäß [RFC9101]. Im folgenden Beispiel soll der User-Agent diese HTTP-Anfrage ausführen (nur Darstellung):
GET /authorize?client_id=s6BhdRkqt3&request_uri=urn%3Aietf%3Aparams
%3Aoauth%3Arequest_uri%3A6esc_11ACC5bwc014ltc14eY22c HTTP/1.1
Host: as.example.com
Da Teile des Inhalts (z. B. code_challenge) anfragespezifisch sind, DARF ein Client eine request_uri nur einmal verwenden. Autorisierungsserver SOLLTEN request_uri als einmalig behandeln, KÖNNEN aber Duplikate durch Neuladen des User-Agents zulassen. Abgelaufene request_uri-Werte MÜSSEN als ungültig abgelehnt werden.
Der Autorisierungsserver MUSS gepushte Autorisierungsanfragen wie jede andere validieren. Er KANN Schritte auslassen, die beim Push bereits erfolgt sind, wenn er nachweisen kann, dass es eine gepushte Anfrage war und sich Anfrage oder Richtlinie nicht in einer Weise geändert haben, die das Ergebnis der ausgelassenen Schritte beeinflusst.
Die Serverrichtlinie KANN global oder pro Client vorschreiben, dass PAR der einzige Weg zur Übermittlung der Autorisierungsdaten ist. Dann lehnt der Server Anfragen am Autorisierungsendpunkt ohne request_uri vom PAR-Endpunkt mit invalid_request ab.
Hinweis: Server und Clients KÖNNEN die Metadaten der Abschnitte 5 und 6 nutzen, um gewünschtes Verhalten anzuzeigen.