5. Requesting Signatures (Signatur anfordern)

5. Requesting Signatures (Signaturen anfordern)

Ein Signierender kann eine Signatur ohne Aufforderung an Anfrage oder Antwort anhängen. Oft soll ein potenzieller Verifizierender jedoch signalisieren, dass er eine Signatur von einem potenziellen Signierenden erwartet; dazu dient das Feld Accept-Signature.

Wird Accept-Signature in einer HTTP-Anfrage gesendet, drückt es aus, dass der Client wünscht, dass der Server die Antwort mit den angegebenen Parametern signiert; Zielnachricht ist die Antwort auf diese Anfrage. Alle Antworten von Ressourcen, die solche Aushandlung unterstützen, SOLLEN entweder nicht cachebar sein oder ein Vary-Header-Feld enthalten, das Accept-Signature aufführt, damit ein Cache keine für eine andere Anfrage bestimmte signierte Antwort zurückgibt.

Wird Accept-Signature in einer HTTP-Antwort verwendet, drückt es aus, dass der Server wünscht, dass der Client die nächste Anfrage an den Server mit den angegebenen Parametern signiert; Zielnachricht ist die nächste Client-Anfrage. Der Client KANN auch weitere Anfragen an denselben Server gleichartig signieren.

Die Zielnachricht eines Accept-Signature-Feldes MUSS alle darin genannten Signaturen mit Labels enthalten, jeweils mit derselben Menge identifizierter abgedeckter Komponenten wie im Accept-Signature-Feld.

Der Absender von Accept-Signature MUSS nur Identifikatoren aufnehmen, die für den Typ der Zielnachricht passen. Ist die Zielnachricht eine Anfrage, dürfen abgedeckte Komponenten z. B. nicht @status enthalten.