Passa al contenuto principale

10.2. Request Source Authentication (Autenticazione dell'origine)

10.2. Request Source Authentication (Autenticazione dell'origine)

L'origine della richiesta di autorizzazione DEVE sempre essere verificata. Modalità: (a) verifica della firma JWS del Request Object; (b) con la cifratura JWE simmetrica, verificare la chiave simmetrica corretta (con crittografia a chiave pubblica la cifratura non autentica l'origine); (c) verificare l'identità TLS del server della Request Object URI (richiede conoscenza fuori banda, in genere inaffidabile); (d) se il server offre lo scambio Request Object per URI, DEVE autenticare il client, legare il client ID all'URI, validare la firma come (a), mantenere URI brevi e preferibilmente monouso con entropia sufficiente (orientativamente meno di un minuto e 128 bit casuali); (e) con terza parte fidata, essa DEVE validare la firma (a) e il server DEVE fidarsi della terza parte e sapere fuori banda che il client è fidato.

Ultimo aggiornamento il