如果OAuth2回调无效,我应该返回什么状态

时间:2017-11-22 23:32:15

标签: http oauth-2.0

在OAuth2中,我的服务器首先将用户重定向到服务的授权服务器。如果用户接受并且一切顺利,auth服务器应该将用户重定向回我使用适当授权码定义的回调URL。

但是,如果对回调网址的请求无效(即格式错误的参数,缺少授权代码等),服务器应返回什么状态?我在考虑400 Bad Request或者500内部服务器错误,但它确实不是服务器的错误。

1 个答案:

答案 0 :(得分:0)

RFC 6749 Section 4.1.2.1描述了这种情况。

“如果请求因缺少,无效或不匹配的重定向URI而失败,或者客户端标识丢失或无效,授权服务器应该通知资源所有者错误并且不得自动重定向用户代理到无效的重定向URI“

有关要添加的错误消息的进一步说明。