我无法弄清楚oAuth 2.0服务器是否应该在新代码请求时撤销旧的授权代码( not Authorization Tokens )?此外,我无法弄清楚oAuth服务器应该以什么格式显示错误,如果未指定有效 redirect_uri 参数,则不会在应用设置中注册。
感谢您帮助我理解此RFC。
答案 0 :(得分:0)
据我所知,您的问题不在规范中,因此以下答案仅反映了我对实际实施的个人意见。
客户可以合法地请求具有不同范围的多个授权码。你可以争论这是否有意义(尽管我认为确实如此),但标准并不禁止它。因此,我认为只有当客户端重新发送请求时才会撤销旧代码(即具有完全相同的请求详细信息:客户端ID,重定向uri,范围)。
对于缺少redirect_uri,服务器应返回HTTP 400错误请求,并在邮件正文中包含错误详细信息(和/或相应的HTTP标头)。