5.2.1. URI Referencing the Request Object

5.2.1. URI Referencing the Request Object

Le client stocke la ressource Request Object localement ou à distance sur un URI accessible au serveur d'autorisation. Le serveur d'autorisation ou un tiers peut fournir cette capacité. Exemple : URL où le client POST le Request Object et obtient l'URI request_uri.

Le Request Object peut contenir des valeurs réservées au serveur d'autorisation. Le request_uri DOIT avoir une entropie appropriée pour sa durée de vie s'il est publiquement récupérable. Voir [RFC6819] section 5.1.4.2.2 et [CapURLs]. Il est RECOMMANDÉ de retirer le request_uri après un délai raisonnable sans mesures de contrôle d'accès.

Exemple de valeur (tiers de confiance hébergeant l'objet) :

https://tfp.example.org/request.jwt/
  GkurKxf5T0Y-mnPFCHqWOMiZi4VS138cQO_V7PZHAdM