跳到主要内容

6. 安全考虑事项 (Security Considerations)

6.1. TLS 要求 (TLS Requirements)

获取 authorization server metadata 以及 OAuth clients 与 authorization servers 之间的其他通信 REQUIRED 使用 TLS. 如 "OAuth 2.0 Threat Model and Security Considerations" [RFC6819] 中所述, 正确实现和部署 TLS 至关重要.

6.2. 冒充攻击 (Impersonation Attacks)

TLS certificate checking [RFC6125] MUST 执行, 以防止未授权 servers 通过提供 metadata 冒充 authorization server. 验证第 3.3 节中描述的 issuer identifier 同样重要.

6.3. 以标准格式发布 Metadata (Publishing Metadata in a Standard Format)

以标准, machine-readable format 发布 metadata, 会使潜在攻击者能够发现有关 authorization server 能力的信息. 这在 OAuth 2.0 的正常操作中无法避免, 不被视为安全风险.

6.4. 受保护资源 (Protected Resources)

本规范不处理获取 protected resources metadata 的问题. 未来规范可能会考虑发布和获取 protected resources metadata 的机制.