11.1. Collection Limitation (收集限制)

当客户端被授予访问包含个人数据的受保护资源时, 客户端应将个人数据的收集限制在适用法律允许范围内且严格限于既定目的所必需的数据.

用户往往难以判断所请求的个人数据是否确属必要. 可信第三方服务可通过审查客户端请求, 将其与客户端拟定的处理流程比较并认证该请求来帮助用户. 认证后, 客户端在发起授权请求时可向该可信第三方提交授权请求以获得 Request Object URI. 该过程分两步:

(1) (认证过程) 可信第三方审查客户端业务流程并确定所需声明, 即认证过程. 客户端通过认证后, 获得客户端凭据, 用于向可信第三方推送 Request Object 以换取 request_uri.

(2) (转换过程) 客户端使用所获凭据将 Request Object 推送给可信第三方以获取 request_uri. 可信第三方还验证 Request Object 是否与上一步确定的客户端有权使用的声明一致.

授权服务器在授权请求中收到此类 Request Object URI 时, 首先验证 Request Object URI 的 authority 部分对该可信第三方是否合法, 然后对 Request Object URI 发出 HTTP GET. 连接建立后, 授权服务器必须验证 TLS 证书中表示的服务器身份对该 Request Object URI 是否合法, 然后可获取包含代表客户端的 client_id 的 Request Object.

同意界面必须标明客户端, 并应标明该请求已由可信第三方按收集限制原则进行审查.

11.1. Collection Limitation (收集限制)​

11.1. Collection Limitation (收集限制)