10.5. Downgrade Attack (ダウングレード攻撃)
10.5. Downgrade Attack (ダウングレード攻撃)
クライアントとサーバのプロトコルが OAuth JWT-Secured Authorization Request (JAR) の使用に固定されていない限り, 攻撃者は RFC 6749 リクエストを用いて本仕様が提供する保護をすべて迂回しうる.
この種の攻撃を防ぐため, 本仕様は require_signed_request_object という同名の新しいクライアントメタデータとサーバメタデータ値を定義し, いずれもブール値である.
クライアントメタデータとして true の場合, サーバは本仕様に適合しない当該クライアントからの認可リクエストを拒否しなければならない. このサーバメタデータ値が true のとき Request Object が alg 値 none を用いる場合も拒否しなければならない. 省略時のデフォルトは false である.
サーバメタデータとして true の場合, サーバは本仕様に適合しない任意のクライアントからの認可リクエストを拒否しなければならない. Request Object が alg 値 none を用いる場合も拒否しなければならない. 省略時のデフォルトは false である.
require_signed_request_object メタデータがなくても, クライアントとサーバが相互にサポートする署名アルゴリズムがあれば, クライアントは署名付き Request Object を用いてもよい. 署名アルゴリズムメタデータの使用は セクション 4 に記載されている.