10.5. Downgrade Attack (降级攻击)

除非客户端与服务器所用协议被锁定为必须使用 OAuth JWT-Secured Authorization Request (JAR), 否则攻击者可使用 RFC 6749 请求绕过本规范提供的全部保护.

为防此类攻击, 本规范定义新的客户端元数据与服务器元数据值, 均名为 require_signed_request_object, 取值为布尔.

当其作为客户端元数据为 true 时, 服务器必须拒绝不符合本规范的来自该客户端的授权请求. 当该服务器元数据值为 true 时, 若 Request Object 使用 alg 值 none, 也必须拒绝请求. 若省略, 默认值为 false.

当其作为服务器元数据为 true 时, 服务器必须拒绝任何不符合本规范的客户端的授权请求. 若 Request Object 使用 alg 值 none, 也必须拒绝. 若省略, 默认值为 false.

注意, 即使未出现 require_signed_request_object 元数据, 只要客户端与服务器存在共同支持的签名算法, 客户端仍可使用已签名的 Request Object. 签名算法元数据的使用见第 4 节.