4. String Operations (文字列操作)
特定の OAuth 2.0 メッセージの処理には、メッセージ内の値を既知の値と比較する必要があります。例えば、メタデータレスポンス内のメンバー名は、"issuer" などの特定のメンバー名と比較される場合があります。しかし、Unicode [UNICODE] 文字列の比較には重大なセキュリティ上の影響があります。
したがって、JSON 文字列と他の Unicode 文字列との比較は、次のように指定されたとおりに実行されなければなりません (MUST):
-
JSON が適用したエスケープを削除して、Unicode コードポイントの配列を生成します。
-
いかなる時点でも、JSON 文字列または比較対象の文字列に Unicode 正規化 (Unicode Normalization) [USA15] を適用してはなりません (MUST NOT)。
-
2 つの文字列間の比較は、Unicode コードポイント対コードポイントの等価性比較 (Unicode code-point-to-code-point equality comparison) として実行されなければなりません (MUST)。
これは、[RFC8259] のセクション 8.3 で説明されている等価性比較プロセスと同じであることに注意してください。