7.2.4. Scelta dei parametri di firma e dei componenti derivati rispetto ai campi HTTP (Choosing Signature Parameters and Derived Components over HTTP Fields)

7.2.4. Scelta dei parametri di firma e dei componenti derivati rispetto ai campi HTTP (Choosing Signature Parameters and Derived Components over HTTP Fields)

Alcuni campi HTTP hanno valori e interpretazioni simili ai parametri di firma HTTP o ai componenti derivati. Nella maggior parte dei casi è più desiderabile firmare l'alternativa non basata su campo. In particolare, i seguenti campi di solito non dovrebbero essere inclusi nella firma a meno che l'applicazione non lo richieda specificamente:

"date" Il valore del campo Date rappresenta il timestamp del messaggio HTTP. Tuttavia, l'istante di creazione della firma stessa è codificato nel parametro di firma created. Questi due valori possono differire, a seconda di come la firma e il messaggio HTTP sono creati e serializzati. Le applicazioni che elaborano firme per finestre temporali valide dovrebbero usare il parametro di firma created per tali calcoli. Un'applicazione potrebbe anche porre limiti a quanto scostamento è ammesso tra il campo Date e il parametro created, per limitare l'applicazione di una firma generata a messaggi HTTP diversi. Si vedano anche le Sezioni 7.2.2 e 7.2.1.

"host" Il campo Host è specifico di HTTP/1.1, e la sua funzionalità è assorbita dal componente derivato @authority, definito nella Sezione 2.2.3. Per preservare il valore tra diverse versioni di HTTP, le applicazioni dovrebbero sempre usare il componente derivato @authority. Si veda anche la Sezione 7.5.4.