跳到主要内容

12. 安全注意事项 (Security Considerations)

在 OAuth 授权请求中, authorization_details 参数通过用户代理发送, 因而容易受到用户修改. 如果 authorization_details 的完整性是关注点, 客户端 MUST 保护 authorization_details 免遭篡改和替换. 这可以通过使用 [RFC9101] 中定义的签名请求对象对请求进行签名来实现, 也可以结合 [RFC9126] 使用 [RFC9101] 中定义的 request_uri 授权请求参数, 将请求对象的 URI 传递给 AS.

authorization_details 参数中的所有字符串比较都应按 [RFC8259] 的定义执行. 在评估字符串值等价性时, 不应执行额外的转换或规范化.

通用数据字段 locations 允许客户端指定其打算在何处使用某项授权, 即可以将权限明确分配给 RS. 在存在多个 RS 的情况下, 这会通过受众限制防止非预期的客户端授权 (例如, 某个 read scope 值可能同时适用于电子邮件服务和云服务).

AS MUST 正确净化和处理 authorization_details 中传递的数据, 以防止注入攻击.

[RFC6749]、[RFC7662] 和 [RFC8414] 中的安全注意事项同样适用.