12. 安全注意事项 (Security Considerations)

在OAuth授权请求的情况下,authorization_details参数通过用户代理发送,这使它们容易受到用户的修改。如果authorization_details的完整性是一个问题,客户端必须(MUST)保护authorization_details免受篡改和交换。这可以通过使用[RFC9101]中定义的签名请求对象对请求进行签名,或使用[RFC9101]中定义的request_uri授权请求参数结合[RFC9126]将请求对象的URI传递给AS来实现。

authorization_details参数中的所有字符串比较都按照[RFC8259]的定义进行。在评估字符串值的等价性时,不进行额外的转换或规范化。

通用数据字段locations允许客户端指定打算在何处使用某个授权,即可以明确地将权限分配给RS。在具有多个RS的情况下,这通过受众限制防止了意外的客户端授权(例如,读取scope值可能同时适用于电子邮件和云服务)。