7.5. Request URI Swapping (Échange d'URI)

Un attaquant pourrait capturer l'URI d'une requête et le substituer dans une autre requête d'autorisation. Par exemple en OpenID Connect, remplacer un URI demandant un niveau d'assurance élevé par un niveau plus faible. Les clients DEVRAIENT utiliser PKCE [RFC7636], un paramètre state unique [RFC6749] ou le paramètre nonce OIDC [OIDC] dans le Request Object poussé pour prévenir cette attaque.