7.1. Request URI Guessing (Erraten der Request-URI)

Ein Angreifer könnte versuchen, einen gültigen Request-URI-Wert zu erraten und wiederzugeben, um sich als betroffener Client auszugeben. Der Autorisierungsserver MUSS die Überlegungen zu Request-URI-Entropie in JAR [RFC9101], Abschnitt 10.2, Punkt (d), berücksichtigen.