10.8. Cross-JWT Confusion (Confusione tra JWT)

10.8. Cross-JWT Confusion (Confusione tra JWT)

Come in [RFC8725] sezione 2.8, si applicano mitigazioni ai Request Object. Un attacco è riusare il Request Object come JWT di autenticazione client [RFC7523]: non usare il client ID come sub nel Request Object. Altra difesa: tipizzazione esplicita con header typ oauth-authz-req+jwt (sezione 9.4.1); ciò può rompere deployment esistenti (es. OpenID Connect [OpenID.Core]). Per nuovi profili OAuth senza vincoli di compatibilità è auspicabile. Un'altra difesa è usare chiavi distinte per firmare Request Object rispetto ad altri usi.