11.2.1. Request Disclosure (请求披露)

本规范允许扩展参数, 其中可能包含潜在敏感信息. 由于 URI 查询参数可能通过多种途径泄露, 尤其是引用方与浏览器历史, 若授权请求包含潜在敏感参数, 客户端应使用 JWE [RFC7516] 加密 Request Object.

在使用 Request Object URI 方式时, 若 Request Object 包含个人身份或敏感信息, request_uri 应仅使用一次且有效期短, 且除非 Request Object 本身已用 JWE [RFC7516] 加密, 否则必须对适用安全策略具有足够熵. 有效期长短与 Request Object URI 的熵是否足够取决于所保护资源价值的风险评估. 一般指导为有效期少于一分钟, 且撰写本规范时 Request Object URI 应包含至少 128 比特的密码学随机值.