5.2.1. URI Referencing the Request Object (リクエストオブジェクトを参照する URI)

5.2.1. URI Referencing the Request Object (リクエストオブジェクトを参照する URI)

クライアントは Request Object リソースをローカルまたは認可サーバがアクセスできる URI に保存する. その機能は認可サーバまたは信頼できる第三者が提供してもよい. 例えば認可サーバは Request Object を POST して Request URI を得る URL を提供してもよい. その URI が Request Object URI request_uri である.

Request Object に認可サーバにのみ開示すべき値が含まれうる. そのため, 公開取得可能な場合, request_uri は生存期間にわたり適切なエントロピーを持ち, URI が推測不能でなければならない. 指針は [RFC6819] のセクション 5.1.4.2.2 および "Good Practices for Capability URLs" [CapURLs] を参照のこと. アクセス制御を講じない限り, 合理的なタイムアウト後に request_uri を削除することが推奨される.

以下は Request Object URI 値の例である (表示のため値内のみ改行). 本例では信頼できる第三者サービスが Request Object をホストする.

https://tfp.example.org/request.jwt/
  GkurKxf5T0Y-mnPFCHqWOMiZi4VS138cQO_V7PZHAdM