0
我不能確定oAuth 2.0服務器是否應該在請求新代碼時撤銷舊的授權碼(而不是授權令牌)?此外,我無法弄清楚oAuth服務器應該顯示錯誤的格式,如果有效的redirect_uri參數未指定既沒有註冊應用程序設置。oAuth 2.0是否應該撤銷舊的授權碼
感謝您幫助我理解此RFC。
http://tools.ietf.org/html/rfc6749
A
回答
0
據我所知,你的問題沒有被覆蓋的規格,所以下面的答案只反映我在實際執行個人意見。
客戶可能合法地請求具有不同範圍的多個授權碼。你可以爭辯說這是否合理(儘管我認爲它確實存在),但標準並不禁止它。因此,我認爲只有當客戶端重新發送請求時(即具有完全相同的請求細節:客戶端ID,重定向URI,範圍),舊代碼才應該被撤銷。
對於缺少redirect_uri,服務器應該返回HTTP 400錯誤請求並在消息正文(和/或適當的HTTP頭文件)中包含錯誤詳細信息。
相關問題
- 1. 撤銷舊的oAuth 2.0刷新令牌
- 2. Facebook Oauth 2.0授權碼是否過期?
- 3. 舊的OAuth 2.0刷新令牌是否會被撤銷
- 4. Twitter API:撤銷授權
- 5. 如何撤銷HealthKit授權
- 6. 授權碼授權協議中的OAuth-2.0瓶頸
- 7. OAuth 2.0代碼授權流程
- 8. OAuth 2.0授權服務器
- 9. Salesforce Oauth 2.0授權屏幕
- 10. OAuth 2.0授權標頭
- 11. YouTube API v2.0 - OAuth 2.0授權
- 12. 處理Facebook API權限跳過/撤銷每個OAuth 2.0 RFC
- 13. LinkedIn Oauth - 從C#撤銷訪問權限#
- 14. OAuth 2.0授權代碼中「代碼」的生命週期授權代碼授權代碼Grant
- 15. Azure AD:撤消授權碼?
- 16. 與Google的DotNetOpenAuth OAuth 2.0授權
- 17. 的OAuth 2.0認證和授權
- 18. 的Oauth 2.0授權LinkedIn Android中
- 19. 谷歌的OAuth 2.0 invalid_client未經授權
- 20. 使用JWT的Oauth 2.0授權
- 21. 授予OAuth應用程序訪問組織撤銷後
- 22. Oauth 2.0隱式授權有多安全?
- 23. 如何重置谷歌oauth 2.0授權?
- 24. oauth 2.0再次顯示授權頁面
- 25. OAuth 2.0記得授權許可
- 26. 撤銷在Facebook登出的應用程序授權android sdk3.5
- 27. 以編程方式從Spring OAuth 2.0授權服務器獲取授權代碼
- 28. Google Oauth 2從授權碼
- 29. Spring Oauth授權碼配置
- 30. spotifpy oauth授權碼流
如果我理解正確授權碼應該有一個小的TTL。那麼,如果每個代碼只能存活1-10分鐘,那麼允許具有不同範圍的多個授權代碼是沒有意義的。在RFC中表示客戶應儘快交換Authorization Token的授權碼。 – 2014-09-26 19:30:20
短暫的TTL與多個請求不矛盾,它們都可以在短時間內送達。然而,再次想到我認識到授權代碼OAuth場景需要明確的用戶批准(即用戶交互)。由於該方案將用戶從客戶端webapp重定向到auth服務器,因此在檢索到第一個請求的結果之前,客戶端無法請求另一個令牌。因此,您應該撤銷來自同一客戶端的新請求的代碼。 – 2014-10-01 14:18:48