Aller au contenu principal

6. Security Considerations (Considérations de sécurité)

6.1. TLS Requirements (Exigences TLS)

L'utilisation de TLS est obligatoire (MUST) lors de l'obtention de métadonnées du serveur d'autorisation et pour les autres communications entre les clients OAuth et les serveurs d'autorisation. Comme décrit dans "OAuth 2.0 Threat Model and Security Considerations" [RFC6819], une mise en œuvre et un déploiement appropriés de TLS sont essentiels.

6.2. Impersonation Attacks (Attaques d'usurpation d'identité)

La vérification du certificat TLS [RFC6125] est obligatoire (MUST) pour empêcher les serveurs non autorisés de se faire passer pour un serveur d'autorisation en fournissant des métadonnées. La validation de l'identifiant d'émetteur décrite dans la section 3.3 est tout aussi importante.

6.3. Publishing Metadata in a Standard Format (Publication des métadonnées dans un format standard)

La publication de métadonnées dans un format standard et lisible par machine permet aux attaquants potentiels de découvrir des informations sur les capacités du serveur d'autorisation. Ceci est inévitable dans le fonctionnement normal d'OAuth 2.0 et n'est pas considéré comme un risque de sécurité.

6.4. Protected Resources (Ressources protégées)

Cette spécification ne traite pas de l'obtention de métadonnées concernant les ressources protégées (Protected Resources). Les mécanismes de publication et d'obtention de métadonnées pour les ressources protégées pourraient être envisagés dans des spécifications futures.

6.1. TLS Requirements (Exigences TLS)
6.2. Impersonation Attacks (Attaques d'usurpation d'identité)
6.3. Publishing Metadata in a Standard Format (Publication des métadonnées dans un format standard)
6.4. Protected Resources (Ressources protégées)