O.Tokn 1 (Beschreibung: Das Authentifizierungstoken MUSS in einem sicheren Speicherbereich liegen (vgl. O.Sess_2).)
O.Tokn 2 (Beschreibung: Es DÜRFEN KEINE sensiblen Daten in ein Authentifizierungstoken eingebettet werden.)
O.Tokn 3 (Beschreibung: Ein Authentifizierungstoken MUSS ausschließlich die von der Web-Anwendung erwarteten Felder enthalten.)
O.Tokn 4 (Beschreibung: Die Web-Anwendung MUSS es dem Nutzer ermöglichen ein oder alle zuvor ausgestellten Authentifizierungstoken ungültig zu machen.)
O.Tokn 5 (Beschreibung: Wird eine Anwendungssitzung beendet, MUSS die Anwendung den Authentifizierungstoken sicher löschen und das Hintergrundsystem informieren. Dies gilt sowohl für das aktive Beenden durch den Benutzer (log-out), als auch für das automatische Beenden durch die Anwendung.)
