10.5. Downgrade Attack

10.5. Downgrade Attack

Sans verrouillage sur JAR, un attaquant peut utiliser des requêtes RFC 6749 pour contourner la protection. Les métadonnées require_signed_request_object (booléen) côté client et serveur : si true, rejeter les demandes non conformes et les objets avec alg none. Défaut false si omis. Sans ces métadonnées, les objets signés restent possibles si des algorithmes sont mutuellement supportés (section 4).