2

我正在使用授权代码流作为依赖方集成到 Google OpenID Connect。如果我在 中发送无效参数AuthenticationRequest,例如 的无效值scope,Google 会在网页中显示错误,例如“某些请求的范围无效...”。

OpenID Connect 规范(和 OAuth 规范)明确指出:“除非重定向 URI 无效,否则授权服务器会将客户端返回到授权请求中指定的重定向 URI,并带有适当的错误和状态参数。”

我在请求中做错了什么,还是我误解了规范,或者 Google 只是在发送错误响应时不符合要求?

4

1 回答 1

1

在我看来,谷歌在这里有点不合规:

作为 OIDC 客户端的开发人员,您需要接受一些无效输入将显示在浏览器中:

  • 无效的 client_id / redirect_uri

我倾向于使用无效范围来测试错误响应——这很方便——我猜你也在做同样的事情。

来自大型云供应商的解决方案经常有这种烦恼——当我们作为消费者想要的只是基于标准的解决方案时。

于 2020-09-21T09:00:03.647 回答