【问题标题】:Are Google OpenID Connect error responses conformant?Google OpenID Connect 错误响应是否一致?
【发布时间】:2021-01-04 12:40:08
【问题描述】:

我正在使用授权代码流作为依赖方集成到 Google OpenID Connect。如果我在AuthenticationRequest 中发送无效参数,例如scope 的值无效,Google 在网页中显示错误,例如“某些请求的范围无效...”。

OpenID Connect 规范(和 OAuth 规范)明确指出:“除非重定向 URI 无效,否则授权服务器会将客户端返回到授权请求中指定的重定向 URI,并带有适当的错误和状态参数。”

我在请求中做错了什么,还是我误解了规范,或者 Google 只是在发送错误响应时不符合要求?

【问题讨论】:

    标签: oauth-2.0 google-oauth openid-connect google-openidconnect


    【解决方案1】:

    在我看来,Google 在这里有点不符合标准:

    • blog post 的第 10 步显示了基于标准的行为

    作为 OIDC 客户端的开发人员,您需要接受一些无效输入将显示在浏览器中:

    • client_id / redirect_uri 无效

    我倾向于使用无效范围来测试错误响应 - 这很方便 - 我猜你也在这样做。

    来自大型云供应商的解决方案经常有这种烦恼 - 当我们作为消费者想要的只是基于标准的解决方案时。

    【讨论】:

    • 好的,谢谢,很高兴知道我不是唯一看到这个的人。我同意,client_id 和 redirect_uri 错误不应该(并且通常不能)返回给客户端,因此需要以其他方式处理这些错误。
    猜你喜欢
    • 2015-02-09
    • 2018-12-28
    • 1970-01-01
    • 2015-09-26
    • 2021-05-31
    • 1970-01-01
    • 2018-09-19
    • 2016-09-17
    • 1970-01-01
    相关资源
    最近更新 更多