12. Riferimenti (References)
12.1. Riferimenti normativi
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, marzo 1997.
[RFC2246] Dierks, T. e C. Allen, "The TLS Protocol Version 1.0", RFC 2246, gennaio 1999.
[RFC2616] Fielding, R., Gettys, J., Mogul, J., Frystyk, H., Masinter, L., Leach, P. e T. Berners-Lee, "Hypertext Transfer Protocol -- HTTP/1.1", RFC 2616, giugno 1999.
[RFC2617] Franks, J., Hallam-Baker, P., Hostetler, J., Lawrence, S., Leach, P., Luotonen, A. e L. Stewart, "HTTP Authentication: Basic and Digest Access Authentication", RFC 2617, giugno 1999.
[RFC2818] Rescorla, E., "HTTP Over TLS", RFC 2818, maggio 2000.
[RFC3629] Yergeau, F., "UTF-8, a transformation format of ISO 10646", STD 63, RFC 3629, novembre 2003.
[RFC3986] Berners-Lee, T., Fielding, R. e L. Masinter, "Uniform Resource Identifier (URI): Generic Syntax", STD 66, RFC 3986, gennaio 2005.
[RFC4627] Crockford, D., "The application/json Media Type for JavaScript Object Notation (JSON)", RFC 4627, luglio 2006.
[RFC4949] Shirey, R., "Internet Security Glossary, Version 2", RFC 4949, agosto 2007.
[RFC5226] Narten, T. e H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 5226, maggio 2008.
[RFC5234] Crocker, D. e P. Overell, "Augmented BNF for Syntax Specifications: ABNF", STD 68, RFC 5234, gennaio 2008.
[RFC5246] Dierks, T. e E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.2", RFC 5246, agosto 2008.
[RFC6125] Saint-Andre, P. e J. Hodges, "Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS)", RFC 6125, marzo 2011.
[USASCII] American National Standards Institute, "Coded Character Set -- 7-bit American Standard Code for Information Interchange", ANSI X3.4, 1986.
[W3C.REC-html401-19991224] Raggett, D., Le Hors, A. e I. Jacobs, "HTML 4.01 Specification", W3C Recommendation REC-html401-19991224, dicembre 1999, http://www.w3.org/TR/1999/REC-html401-19991224.
[W3C.REC-xml-20081126] Bray, T., Paoli, J., Sperberg-McQueen, C., Maler, E. e F. Yergeau, "Extensible Markup Language (XML) 1.0 (Fifth Edition)", W3C Recommendation REC-xml-20081126, novembre 2008, http://www.w3.org/TR/2008/REC-xml-20081126.
12.2. Riferimenti informativi
[OAuth-HTTP-MAC] Hammer-Lahav, E., Ed., "HTTP Authentication: MAC Access Authentication", Work in Progress, febbraio 2012.
[OAuth-SAML2] Campbell, B. e C. Mortimore, "SAML 2.0 Bearer Assertion Profiles for OAuth 2.0", Work in Progress, settembre 2012.
[OAuth-THREATMODEL] Lodderstedt, T., Ed., McGloin, M. e P. Hunt, "OAuth 2.0 Threat Model and Security Considerations", Work in Progress, ottobre 2012.
[OAuth-WRAP] Hardt, D., Ed., Tom, A., Eaton, B. e Y. Goland, "OAuth Web Resource Authorization Profiles", Work in Progress, gennaio 2010.
[RFC5849] Hammer-Lahav, E., "The OAuth 1.0 Protocol", RFC 5849, aprile 2010.
[RFC6750] Jones, M. e D. Hardt, "The OAuth 2.0 Authorization Framework: Bearer Token Usage", RFC 6750, ottobre 2012.
Appendix A. Sintassi Augmented Backus-Naur Form (ABNF)
Questa sezione fornisce descrizioni di sintassi ABNF per gli elementi definiti in questa specifica usando la notazione di [RFC5234]. L'ABNF seguente è definito in termini di code point Unicode [W3C.REC-xml-20081126], tipicamente codificati in UTF-8. Gli elementi sono presentati nell'ordine in cui sono definiti per la prima volta. Alcune definizioni usano la definizione "URI-reference" di [RFC3986].
Definizioni comuni:
VSCHAR = %x20-7E
NQCHAR = %x21 / %x23-5B / %x5D-7E
NQSCHAR = %x20-21 / %x23-5B / %x5D-7E
UNICODECHARNOCRLF = %x09 /%x20-7E / %x80-D7FF /
%xE000-FFFD / %x10000-10FFFF
La definizione UNICODECHARNOCRLF si basa sulla definizione Char nella sezione 2.2 di [W3C.REC-xml-20081126], omettendo però i caratteri Carriage Return e Linefeed.
client-id = *VSCHAR
client-secret = *VSCHAR
response-type = response-name *( SP response-name )
response-name = 1*response-char
response-char = "_" / DIGIT / ALPHA
scope = scope-token *( SP scope-token )
scope-token = 1*NQCHAR
state = 1*VSCHAR
redirect-uri = URI-reference
error = 1*NQSCHAR
error-description = 1*NQSCHAR
error-uri = URI-reference
grant-type = grant-name / URI-reference
grant-name = 1*name-char
name-char = "-" / "." / "_" / DIGIT / ALPHA
code = 1*VSCHAR
access-token = 1*VSCHAR
token-type = type-name / URI-reference
type-name = 1*name-char
expires-in = 1*DIGIT
username = *UNICODECHARNOCRLF
password = *UNICODECHARNOCRLF
refresh-token = 1*VSCHAR
param-name = 1*name-char
Appendix B. Uso del media type application/x-www-form-urlencoded
Al momento della pubblicazione, il media type "application/x-www-form-urlencoded" era definito nella sezione 17.13.4 di [W3C.REC-html401-19991224], ma non era registrato nel registro IANA MIME Media Types. Inoltre, tale definizione era incompleta perché non considerava caratteri non-US-ASCII.
Per colmare questa lacuna quando si generano payload con questo media type, nomi e valori devono essere prima codificati con UTF-8 [RFC3629]; la sequenza di ottetti risultante deve poi essere ulteriormente codificata usando le regole di escaping definite in [W3C.REC-html401-19991224].
Quando si analizzano dati da un payload con questo media type, i nomi e valori ottenuti invertendo la codifica name/value devono quindi essere trattati come sequenze di ottetti da decodificare con UTF-8.
Per esempio, il valore composto dai sei code point Unicode U+0020, U+0025, U+0026, U+002B, U+00A3 e U+20AC viene codificato nella seguente sequenza di ottetti:
20 25 26 2B C2 A3 E2 82 AC
e poi rappresentato nel payload come:
+%25%26%2B%C2%A3%E2%82%AC
Appendix C. Ringraziamenti
La specifica iniziale del protocollo OAuth 2.0 è stata curata da David Recordon, basandosi su due pubblicazioni precedenti: la specifica comunitaria OAuth 1.0 [RFC5849] e OAuth WRAP [OAuth-WRAP]. Eran Hammer ha poi curato molte bozze intermedie che si sono evolute in questa RFC. La sezione Security Considerations è stata redatta da Torsten Lodderstedt, Mark McGloin, Phil Hunt, Anthony Nadalin e John Bradley. La sezione sull'uso del media type "application/x-www-form-urlencoded" è stata redatta da Julian Reschke. La sezione ABNF è stata redatta da Michael B. Jones.
La specifica comunitaria OAuth 1.0 è stata curata da Eran Hammer e scritta da Mark Atwood, Dirk Balfanz, Darren Bounds, Richard M. Conlan, Blaine Cook, Leah Culver, Breno de Medeiros, Brian Eaton, Kellan Elliott-McCrea, Larry Halff, Eran Hammer, Ben Laurie, Chris Messina, John Panzer, Sam Quigley, David Recordon, Eran Sandler, Jonathan Sergent, Todd Sieling, Brian Slesinsky e Andy Smith.
La specifica OAuth WRAP è stata curata da Dick Hardt e scritta da Brian Eaton, Yaron Y. Goland, Dick Hardt e Allen Tom.
Questa specifica è il lavoro dell'OAuth Working Group, che include molti partecipanti attivi e dedicati. Molte persone hanno contribuito idee, feedback e formulazioni che hanno dato forma alla specifica finale, tra cui Michael Adams, Amanda Anganes, Andrew Arnott, Dirk Balfanz, John Bradley, Brian Campbell, Blaine Cook, Leah Culver, Brian Eaton, Eran Hammer, Dick Hardt, Phil Hunt, Michael B. Jones, Torsten Lodderstedt, Anthony Nadalin, Julian Reschke, Peter Saint-Andre, Nat Sakimura, Justin Richer, Allen Tom e molti altri.
Questo documento è stato prodotto sotto la presidenza di Blaine Cook, Peter Saint-Andre, Hannes Tschofenig, Barry Leiba e Derek Atkins. Gli area director includevano Lisa Dusseault, Peter Saint-Andre e Stephen Farrell.
Indirizzo dell'autore
Dick Hardt (editor)
Microsoft
EMail: [email protected]
URI: http://dickhardt.org/