Resource Ownerの対策 204 subのユーザーIDとクライアントIDが衝突する可 能性ある場合、クライアントIDを⾃由に設定させ るべきではない。(SHOULD NOT) クライアントIDを設定できるならば、他の⼿段で 区別できる⽅法を認可サーバは提供しなければな らない。(MUST) RFC-9068に記載あるJWT形式のアクセストークンの構造を逆⼿にとった攻撃 Header: {"typ":"at+JWT","alg":"RS256","kid":"RjEwOwOA"} Claims: { "iss": "https://authorization-server.example.com/", "sub": "5ba552d67", "aud": "https://rs.example.com/", "exp": 1639528912, "iat": 1618354090, "jti" : "dbe39bf3a3ba4238a513f51d6e1691c4", "client_id": "s6BhdRkqt3", "scope": "openid profile reademail" } RFC-9068に定義されたサンプルデータ構造