メインコンテンツまでスキップ

11.2.1. Request Disclosure (リクエストの開示)

11.2.1. Request Disclosure (リクエストの開示)

本仕様は拡張パラメータを許可する. これらには機密性の高い情報が含まれうる. URI クエリパラメータはリファラやブラウザ履歴など様々な経路で漏えいしうるため, 認可リクエストに機密性の高いパラメータが含まれる場合, クライアントは JWE [RFC7516] で Request Object を暗号化すべきである.

Request Object URI 方式を用いる場合, Request Object に個人を特定できる情報や機密情報が含まれるなら, request_uri は一回限りの使用と短い有効期間を持つべきであり, Request Object 自体が JWE [RFC7516] で暗号化されていない限り, 適用されるセキュリティ方針に対して十分なエントロピーを持たなければならない. 有効期間の適切な短さと Request Object URI のエントロピーは保護対象の価値に基づくリスク計算に依存する. 一般的な指針として有効期間は 1 分未満, 本仕様執筆時点では Request Object URI に 128 ビット以上の暗号学的乱数を含めること.

最終更新