10.4.1. DDoS Attack on the Authorization Server (認可サーバへの DDoS)

悪意あるクライアント群は request_uri を極めて大きな内容を返す URI または応答が極めて遅い URI に向けることで認可サーバに DoS 攻撃を仕掛けうる. そのような攻撃下ではサーバは資源を使い果たし故障し始めうる.

同様に, 悪意あるクライアントは request_uri 自体が request_uri を用いる認可リクエスト URI を指す値にし, 再帰的参照を引き起こすことができる.

この攻撃を防ぐため, サーバは a) request_uri パラメータの値が予期しない場所を指さないことを確認し, b) 応答のメディアタイプが application/oauth-authz-req+jwt であることを確認し, c) request_uri の内容取得にタイムアウトを実装し, d) request_uri に対して再帰的 GET を行わないべきである.