10.2. Request Source Authentication
10.2. Request Source Authentication
La source de la demande d'autorisation DOIT toujours être vérifiée : (a) signature JWS du Request Object ; (b) clé symétrique JWE correcte si chiffrement symétrique (le chiffrement asymétrique n'authentifie pas la source) ; (c) identité TLS du Request Object URI (peu fiable en général) ; (d) service d'échange Request Object contre URI : authentification client, liaison de l'ID client, validation de signature, durée de vie courte et usage unique recommandés, entropie élevée (p. ex. moins d'une minute, 128 bits aléatoires ou plus) ; (e) tiers de confiance : validation (a), confiance mutuelle serveur/tiers et client.