12. Sicherheitsüberlegungen (Security Considerations)

Der authorization_details-Parameter wird im Fall einer OAuth-Autorisierungsanfrage über den User Agent gesendet, wodurch er anfällig für Änderungen durch den Benutzer wird. Wenn die Integrität der authorization_details ein Anliegen ist, MÜSSEN Clients authorization_details gegen Manipulation und Austausch schützen. Dies kann durch Signieren der Anfrage unter Verwendung signierter Request-Objekte, wie in [RFC9101] definiert, oder durch Verwendung des request_uri Autorisierungsanfrage-Parameters, wie in [RFC9101] definiert, in Verbindung mit [RFC9126] erreicht werden, um die URI des Request-Objekts an den AS zu übergeben.

Alle String-Vergleiche in einem authorization_details-Parameter sind wie in [RFC8259] definiert durchzuführen. Bei der Bewertung der Äquivalenz von String-Werten darf keine zusätzliche Transformation oder Normalisierung vorgenommen werden.

Das gemeinsame Datenfeld locations ermöglicht es einem Client anzugeben, wo er eine bestimmte Autorisierung zu verwenden beabsichtigt, d.h. es ist möglich, Berechtigungen eindeutig RSs zuzuordnen. In Situationen mit mehreren RSs verhindert dies unbeabsichtigte Client-Autorisierungen (z.B. ein Lese-Scope-Wert, der potenziell sowohl für eine E-Mail als auch für einen Cloud-Dienst anwendbar ist) durch Audience-Einschränkung.

Der AS MUSS die in authorization_details übergebenen Daten ordnungsgemäß bereinigen und verarbeiten, um Injection-Angriffe zu verhindern.

Die Sicherheitsüberlegungen von [RFC6749], [RFC7662] und [RFC8414] gelten ebenfalls.