Google OpenID Connect 错误响应是否符合要求?
Are Google OpenID Connect error responses conformant?
我正在作为依赖方集成到 Google OpenID Connect,使用授权代码流。如果我在 AuthenticationRequest 中发送无效参数,例如scope、Google 的无效值在网页中显示错误,例如“一些请求的范围无效...”。
OpenID Connect 规范(和 OAuth 规范)明确指出:“除非重定向 URI 无效,授权服务器 returns 客户端到授权请求中指定的重定向 URI 并带有适当的错误和状态参数。
我是不是在我的请求中做错了什么,或者我是否误解了规范,或者 Google 只是在发送错误响应时不符合要求?
我觉得 Google 有点 non-conformant 在这里:
- 我的 blog post 的第 10 步显示了基于标准的行为
作为 OIDC 客户端的开发人员,您需要接受一些无效输入将显示在浏览器中:
- 无效 client_id / redirect_uri
我倾向于使用无效范围来测试错误响应 - 这很方便 - 我想你也在做同样的事情。
来自大型云供应商的解决方案常常有这种烦恼——当我们作为消费者想要的只是一个基于标准的解决方案时。
我正在作为依赖方集成到 Google OpenID Connect,使用授权代码流。如果我在 AuthenticationRequest 中发送无效参数,例如scope、Google 的无效值在网页中显示错误,例如“一些请求的范围无效...”。
OpenID Connect 规范(和 OAuth 规范)明确指出:“除非重定向 URI 无效,授权服务器 returns 客户端到授权请求中指定的重定向 URI 并带有适当的错误和状态参数。
我是不是在我的请求中做错了什么,或者我是否误解了规范,或者 Google 只是在发送错误响应时不符合要求?
我觉得 Google 有点 non-conformant 在这里:
- 我的 blog post 的第 10 步显示了基于标准的行为
作为 OIDC 客户端的开发人员,您需要接受一些无效输入将显示在浏览器中:
- 无效 client_id / redirect_uri
我倾向于使用无效范围来测试错误响应 - 这很方便 - 我想你也在做同样的事情。
来自大型云供应商的解决方案常常有这种烦恼——当我们作为消费者想要的只是一个基于标准的解决方案时。