12. Considerazioni sulla Sicurezza (Security Considerations)

Il parametro authorization_details viene inviato tramite l'agente utente nel caso di una richiesta di autorizzazione OAuth, il che li rende vulnerabili alle modifiche da parte dell'utente. Se l'integrità degli authorization_details è una preoccupazione, i client DEVONO proteggere authorization_details contro la manomissione e lo scambio. Questo può essere ottenuto firmando la richiesta utilizzando oggetti di richiesta firmati come definito in [RFC9101] o utilizzando il parametro di richiesta di autorizzazione request_uri come definito in [RFC9101] in congiunzione con [RFC9126] per passare l'URI dell'oggetto di richiesta all'AS.

Tutti i confronti di stringhe in un parametro authorization_details devono essere eseguiti come definito da [RFC8259]. Nessuna trasformazione o normalizzazione aggiuntiva deve essere eseguita nella valutazione dell'equivalenza dei valori di stringa.

Il campo di dati comune locations consente a un client di specificare dove intende utilizzare una certa autorizzazione, cioè è possibile assegnare senza ambiguità i permessi agli RS. In situazioni con più RS, questo previene autorizzazioni client non intenzionali (ad esempio, un valore di scope di lettura potenzialmente applicabile sia per un'email che per un servizio cloud) attraverso la restrizione dell'audience.

L'AS DEVE sanificare e gestire correttamente i dati passati in authorization_details per prevenire attacchi di iniezione.

Le Considerazioni sulla Sicurezza di [RFC6749], [RFC7662] e [RFC8414] si applicano anche.