5. Considérations de sécurité

Une grande partie des conseils de la section 10 de la [RFC6749], les Considérations de sécurité dans le cadre d'autorisation OAuth 2.0, est également applicable ici. De plus, la [RFC6819] fournit des considérations de sécurité supplémentaires pour OAuth, et [OAUTH-SECURITY] a mis à jour les conseils de sécurité basés sur l'expérience de déploiement et les nouvelles menaces apparues depuis la publication initiale d'OAuth 2.0.

Tous les problèmes de sécurité normaux qui sont discutés dans [JWT], en particulier en ce qui concerne la comparaison des URI et le traitement des valeurs non reconnues, s'appliquent également ici.

De plus, la délégation et l'usurpation d'identité introduisent des problèmes de sécurité uniques. Chaque fois que les droits d'un principal sont délégués à un autre principal, le potentiel d'abus est une préoccupation. L'utilisation de la revendication "scope" (en plus d'autres contraintes typiques telles qu'une durée de vie limitée du jeton) est suggérée pour atténuer le potentiel d'un tel abus, car elle restreint les contextes dans lesquels les droits délégués peuvent être exercés.