12. Considérations de Sécurité (Security Considerations)

Le paramètre authorization_details est envoyé via l'agent utilisateur dans le cas d'une demande d'autorisation OAuth, ce qui les rend vulnérables aux modifications par l'utilisateur. Si l'intégrité des authorization_details est une préoccupation, les clients DOIVENT protéger authorization_details contre la falsification et l'échange. Cela peut être réalisé en signant la demande en utilisant des objets de demande signés tels que définis dans [RFC9101] ou en utilisant le paramètre de demande d'autorisation request_uri tel que défini dans [RFC9101] en conjonction avec [RFC9126] pour passer l'URI de l'objet de demande à l'AS.

Toutes les comparaisons de chaînes dans un paramètre authorization_details doivent être effectuées comme défini par [RFC8259]. Aucune transformation ou normalisation supplémentaire ne doit être effectuée lors de l'évaluation de l'équivalence des valeurs de chaîne.

Le champ de données commun locations permet à un client de spécifier où il a l'intention d'utiliser une certaine autorisation, c'est-à-dire qu'il est possible d'attribuer sans ambiguïté des permissions aux RS. Dans des situations avec plusieurs RS, cela empêche les autorisations client non intentionnelles (par exemple, une valeur de scope de lecture potentiellement applicable pour un e-mail ainsi qu'un service cloud) par restriction d'audience.

L'AS DOIT correctement assainir et gérer les données transmises dans authorization_details afin de prévenir les attaques par injection.

Les Considérations de Sécurité de [RFC6749], [RFC7662] et [RFC8414] s'appliquent également.