Aller au contenu principal

7.2.3. Choisir les composants du message

7.2.3. Choisir les composants du message

Les applications des signatures de message HTTP doivent décider quels composants du message seront couverts par la signature. Selon l'application, certains composants peuvent être modifiés par des intermédiaires avant la vérification de la signature. Si ces composants sont couverts, de telles modifications casseraient par conception la signature.

Toutefois, le présent document permet de déterminer avec souplesse quels composants sont signés afin qu'une application donnée puisse choisir les parties appropriées du message à signer, en évitant les composants problématiques. Par exemple, un framework d'application web qui s'appuie sur la réécriture des paramètres de query pourrait éviter d'utiliser le composant dérivé @query au profit d'une indexation secondaire de la valeur de query au moyen de composants dérivés @query-param à la place.

Certains composants sont susceptibles d'être modifiés par les intermédiaires et ne devraient en général pas être signés. Les champs d'en-tête Via et Forwarded, par exemple, sont censés être manipulés par les proxys et autres boîtiers intermédiaires, y compris en remplaçant ou en supprimant entièrement des valeurs existantes. Ces champs ne devraient pas être couverts par la signature, sauf dans des scénarios très limités et étroitement couplés.

Des considérations supplémentaires sur le choix des aspects de la signature sont discutées à la Section 1.4.

Dernière mise à jour le