5. Considerazioni sulla Sicurezza

Gran parte delle linee guida della Sezione 10 della [RFC6749], le Considerazioni sulla Sicurezza nell'OAuth 2.0 Authorization Framework, sono applicabili anche qui. Inoltre, la [RFC6819] fornisce ulteriori considerazioni sulla sicurezza per OAuth, e [OAUTH-SECURITY] ha aggiornato le linee guida sulla sicurezza in base all'esperienza di distribuzione e alle nuove minacce emerse da quando OAuth 2.0 è stato originariamente pubblicato.

Tutti i normali problemi di sicurezza discussi in [JWT], specialmente in relazione al confronto degli URI e alla gestione dei valori non riconosciuti, si applicano anche qui.

Inoltre, sia la delega che l'impersonificazione introducono problemi di sicurezza unici. Ogni volta che a un principal vengono delegati i diritti di un altro principal, il potenziale di abuso è una preoccupazione. L'uso del claim "scope" (oltre ad altri vincoli tipici come una durata limitata del token) è suggerito per mitigare il potenziale di tale abuso, poiché limita i contesti in cui i diritti delegati possono essere esercitati.