3.1.2.1. 端点请求的机密性

当所请求的响应类型是“code”或“token”时,或者当重定向请求将引起机密凭据通过公开网络传输时,重定向端点应该要求使用1.6节所述的TLS。本规范没有强制使用TLS,因为在撰写本规范时,要求客户端部署TLS对于许多客户端开发者是一严重的困难。如果TLS不可用,授权服务器应该在重定向之前警告资源所有者有关非安全端点(例如,在授权请求期间现实一条信息)。

缺乏传输层安全可能对客户端及它被授权访问的受保护资源的安全具有严重影响。当授权过程用作一种客户端委托的对最终用户认证(例如,第三方登录服务)的形式时,使用传输层安全尤其关键。