7.2.7. Collision of Application-Specific Signature Tag (应用专用签名标签碰撞)

多个应用与协议可能同时对同一消息应用 HTTP 签名. 事实上这在许多情况下是期望特性, 见第 4.3 节. 朴素验证者在处理多个签名时可能混淆, 基于无关或不相关签名接受或拒绝消息. 为帮助应用选择哪些签名适用于其自身处理, 应用可以声明 tag 签名参数 (第 2.3 节) 的特定值. 例如, 针对应用网关的签名可能要求该应用的签名参数包含 tag="app-gateway".

使用 tag 参数不能阻止攻击者对目标应用使用相同值, 因为参数值公开且不受限. 因此, 验证者应仅使用 tag 参数值限制要检查的签名. 每个签名仍需由验证者检查以确保提供充分覆盖, 见第 7.2.1 节.