6.3.1.2. Код пользователя

Для предотвращения появления нежелательных запросов на AD конечного пользователя может быть использован параметр <user_code> (пункт 7.1.2 [8]). Код пользователя - это секрет конечного пользователя, который может быть проверен сервером авторизации.

Примечание. Запрещено использовать в качестве <user_code> пароль учетной записи конечного пользователя, зарегистрированной на сервере авторизации.

Если сервер авторизации поддерживает параметр <user_code>, клиенты должны запрашивать у конечного пользователя значение кода пользователя для каждого потока аутентификации. Это позволяет предотвратить создание запросов на аутентификацию третьими лицами, знающими <login_hint> или другие идентификаторы конечного пользователя. Сервер авторизации может принимать запросы аутентификации без <user_code>, если клиент не использует статичные <login_hint>.

Сервер авторизации объявляет о поддержке кода пользователя значением параметра метаданных <backchannel_user_code_parameter_supported>. Параметр метаданных клиента <backchannel_user_code_parameter> указывает, поддерживает ли клиент параметр <user_code>.

Клиент не должен сохранять код пользователя, а должен запрашивать его у пользователя при каждом использовании потока аутентификации по отдельному каналу.

Механизм регистрации пользователем <user_code> на сервере авторизации выходит за рамки настоящего стандарта. Сервер авторизации определяет механизм регистрации исходя из его прикладных целей и задач, также должен предоставлять пользователю возможность изменения значения <user_code>.