Passa al contenuto principale

5.2.1. URI Referencing the Request Object (URI che referenzia l'oggetto)

5.2.1. URI Referencing the Request Object (URI che referenzia l'oggetto)

Il client memorizza la risorsa Request Object in locale o in remoto su un URI accessibile al server di autorizzazione. Tale servizio può essere offerto dal server o da una terza parte fidata. Ad esempio il server può fornire un URL a cui il client invia in POST il Request Object e ottiene il Request URI. Questo URI è il Request Object URI, request_uri.

Il Request Object può contenere valori da rivelare solo al server di autorizzazione. Pertanto request_uri DEVE avere entropia adeguata alla sua durata affinché l'URI non sia indovinabile se recuperabile pubblicamente. Vedere [RFC6819] sezione 5.1.4.2.2 e [CapURLs]. Si RACCOMANDA di rimuovere request_uri dopo un timeout ragionevole salvo misure di controllo degli accessi.

Esempio di valore di Request Object URI (interruzioni di riga solo per visualizzazione); una terza parte fidata ospita il Request Object:

https://tfp.example.org/request.jwt/
  GkurKxf5T0Y-mnPFCHqWOMiZi4VS138cQO_V7PZHAdM
Ultimo aggiornamento il