OAuth 2.0 - 當資源所有者憑據無效時,為什么授權服務器返回400而不是401?
[英]OAuth 2.0 - Why does the authorization server return 400 instead of 401 when the resource owner credentials are invalid?
問題描述
使用資源所有者密碼授予類型時,如果由於資源所有者輸入的密碼不正確而無法授予訪問令牌,則授權服務器似乎應響應HTTP 400(錯誤請求)狀態代碼。 基於我對RFC 6749第5.2節**的理解,我得出了這個結論,其中說“在由於invalid_grant而無法授予令牌的情況下,授權服務器以HTTP 400(錯誤請求)狀態代碼響應”。 為invalid_grant列出的原因包括資源所有者憑據無效。
我的理解是否正確? 如果是這樣,為什么不返回HTTP 401(未授權)? 使用基本身份驗證時,無效密碼會生成401.為什么OAuth 2.0規定要返回400? 這是因為401是為無效的客戶端憑據保留的嗎?
2 個解決方案
解決方案1
10 2015-01-06 12:11:32
解決方案2
8 2015-01-08 08:30:29
我想這是以這種方式實現的,因為客戶端提供了無效數據,即(用戶名,密碼,刷新令牌等)客戶端沒有嘗試訪問受保護資源,因此他正在接收HTTP 400以指示他應該更正他的投入。 通常,當您嘗試使用無效或過期的訪問令牌訪問受保護資源時,您應該會收到401。
YELP API 代碼預期返回錯誤 401,但返回的是錯誤 400
[英]YELP API code expected to return error 401, but instead error 400 is returned
是否可以為不存在的資源而不是404返回HTTP 401以防止信息泄露?
[英]Is it OK to return a HTTP 401 for a non existent resource instead of 404 to prevent information disclosure?
為什么 HTTP Basic Auth 使用 `git -c http.extraHeader="Authorization: Basic 工作<base64> "`,但在將憑據直接放入 URL 時則不然?
[英]Why does HTTP Basic Auth works using `git -c http.extraHeader="Authorization: Basic <base64>"`, but not when putting credentials directly in the URL?
當請求過大時,為什么IIS返回代碼404.13而不是代碼413?
[英]Why does IIS return code 404.13 instead of code 413 when a request is too large?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
OAuth 2.0 授權 Header
YELP API 代碼預期返回錯誤 401,但返回的是錯誤 400
服務器返回Authorization標頭是否有意義
為什么服務器返回錯誤時 fopen 返回無效句柄
docker如何設法獲得200而不是401的返回碼
是否可以為不存在的資源而不是404返回HTTP 401以防止信息泄露?
為什么 HTTP Basic Auth 使用 `git -c http.extraHeader="Authorization: Basic 工作<base64> "`,但在將憑據直接放入 URL 時則不然?
API OAuth 2.0 - XERO 訪問 R 接收狀態 400
使用 Apache 捕獲 302 並返回 401
當請求過大時,為什么IIS返回代碼404.13而不是代碼413?
相關標簽