12. セキュリティに関する考慮事項 (Security Considerations)

OAuth認可リクエストの場合、authorization_detailsパラメータはユーザーエージェントを通じて送信されるため、ユーザーによる変更に対して脆弱です。authorization_detailsの整合性が懸念される場合、クライアントは、改ざんやスワッピングからauthorization_detailsを保護しなければなりません(MUST)。これは、[RFC9101]で定義されている署名付きリクエストオブジェクトを使用してリクエストに署名するか、[RFC9101]で定義されているrequest_uri認可リクエストパラメータを[RFC9126]と組み合わせて使用して、リクエストオブジェクトのURIをASに渡すことで実現できます。

authorization_detailsパラメータ内のすべての文字列比較は、[RFC8259]で定義されているように行われます。文字列値の等価性を評価する際に、追加の変換や正規化は行われません。

共通データフィールドlocationsにより、クライアントは特定の認可をどこで使用するつもりかを指定できます。つまり、RSに権限を明確に割り当てることが可能です。複数のRSがある状況では、これにより、オーディエンス制限を通じて意図しないクライアント認可(例えば、電子メールとクラウドサービスの両方に潜在的に適用可能な読み取りscope値)を防ぎます。

ASは、インジェクション攻撃を防ぐために、authorization_detailsで渡されたデータを適切にサニタイズして処理しなければなりません(MUST)。

[RFC6749]、[RFC7662]、および[RFC8414]のセキュリティに関する考慮事項も適用されます。