跳到主要内容

5.2.1. URI Referencing the Request Object (引用请求对象的 URI)

5.2.1. URI Referencing the Request Object (引用请求对象的 URI)

客户端将 Request Object 资源存放在本地或远程, 其 URI 须为授权服务器可访问. 该能力可由授权服务器或可信第三方提供. 例如, 授权服务器可提供 URL, 客户端向该 URL POST Request Object 并获得 Request URI. 该 URI 即 Request Object URI, request_uri.

Request Object 中可包含仅应向授权服务器披露的值. 因此, request_uri 在其生存期内必须具有适当熵, 以便在可公开获取时不可被猜中. 指导见 [RFC6819] 第 5.1.4.2.2 节与 [CapURLs]. 建议在经过合理超时后移除 request_uri, 除非已采取访问控制措施.

以下为 Request Object URI 取值示例 (为显示仅对值内换行). 本例中由可信第三方服务托管 Request Object.

https://tfp.example.org/request.jwt/
  GkurKxf5T0Y-mnPFCHqWOMiZi4VS138cQO_V7PZHAdM
最后 更新