5. Considérations relatives à la vie privée

La réponse d'introspection peut contenir des informations sensibles au niveau de la vie privée telles que des identifiants utilisateur pour les propriétaires de ressources. Lorsque c'est le cas, des mesures DOIVENT (MUST) être prises pour empêcher la divulgation de ces informations à des tiers non intentionnels. Une méthode consiste à transmettre les identifiants utilisateur sous forme de chaînes opaques spécifiques au service, renvoyant potentiellement différents identifiants à chaque ressource protégée.

Si la ressource protégée envoie des informations supplémentaires sur la demande du client au serveur d'autorisation (telles que l'adresse IP du client) en utilisant une extension de cette spécification, ces informations pourraient avoir des considérations de confidentialité supplémentaires que l'extension devrait détailler. Cependant, la nature et les implications de telles extensions ne relèvent pas du domaine de cette spécification.

Omettre les informations sensibles au niveau de la vie privée d'une réponse d'introspection est le moyen le plus simple de minimiser les problèmes de confidentialité.