6. Security Considerations (Considerazioni sulla sicurezza)

6.1. TLS Requirements (Requisiti TLS)

L'uso di TLS è obbligatorio (MUST) quando si ottengono metadati del server di autorizzazione e per altre comunicazioni tra client OAuth e server di autorizzazione. Come descritto in "OAuth 2.0 Threat Model and Security Considerations" [RFC6819], un'implementazione e un dispiegamento appropriati di TLS sono essenziali.

6.2. Impersonation Attacks (Attacchi di impersonificazione)

La verifica del certificato TLS [RFC6125] è obbligatoria (MUST) per impedire ai server non autorizzati di impersonare un server di autorizzazione fornendo metadati. La convalida dell'identificatore dell'emittente descritta nella sezione 3.3 è altrettanto importante.

6.3. Publishing Metadata in a Standard Format (Pubblicazione di metadati in formato standard)

La pubblicazione di metadati in un formato standard e leggibile dalla macchina consente ai potenziali aggressori di scoprire informazioni sulle capacità del server di autorizzazione. Questo è inevitabile nel normale funzionamento di OAuth 2.0 e non è considerato un rischio per la sicurezza.

6.4. Protected Resources (Risorse protette)

Questa specifica non tratta dell'ottenimento di metadati riguardanti le risorse protette (Protected Resources). I meccanismi per la pubblicazione e l'ottenimento di metadati per le risorse protette potrebbero essere considerati in specifiche future.

6.1. TLS Requirements (Requisiti TLS)​

6.2. Impersonation Attacks (Attacchi di impersonificazione)​

6.3. Publishing Metadata in a Standard Format (Pubblicazione di metadati in formato standard)​

6.4. Protected Resources (Risorse protette)​

6.1. TLS Requirements (Requisiti TLS)

6.2. Impersonation Attacks (Attacchi di impersonificazione)

6.3. Publishing Metadata in a Standard Format (Pubblicazione di metadati in formato standard)

6.4. Protected Resources (Risorse protette)