1.5. 通信安全

本规范的实现必须使用某种机制（例如 TLS 协议 [RFC8446] 来提供通信的认证、完整性和机密性，以保护内容或头部字段中的明文凭据和令牌的交换，防止窃听、篡改和消息伪造（例如，见第 2.4.1 节、第 7.5.1 节、第 3.2 节和第 1.4.2 节）。

OAuth 中的各个 URL 必须使用 HTTPS 协议，除非是回环接口的重定向 URI，后者可以使用 HTTP 协议。在使用 HTTPS 时，必须根据 [RFC9110] 检查 TLS 证书。截至到本文编写时，TLS 的最新版本是 1.3 版本 [RFC8446]。

本规范的实现也可以使用另外的传输层安全机制，只要其能够满足实现者的安全要求。

针对 TLS 版本和算法的识别不在本规范的范围内。关于传输层安全的最新建议见 [BCP195]。证书的验证和其它安全考量见相关规范。