Ошибка OAuth 2.0 при получении токена доступа

Я пишу API, который использует поток паролей OAuth 2.0 для аутентификации пользователей. Когда отклоняется запрос на токен доступа, клиент не может определить, был ли пароль неправильным или истек. Из спецификации в обоих случаях должен быть возвращен код ошибки invalid_grant:

invalid_grant: предоставленное разрешение на авторизацию (например, код авторизации, учетные записи владельца ресурса) или токен обновления недействителен, истек, отменен, не соответствует URI перенаправления, используемого в запросе авторизации, или был выдан другому клиенту.

Допустимо ли использовать error_description в ответе, чтобы указать, что пароль истек, чтобы клиент мог предпринять необходимые действия, а если нет, каков стандартный подход для обработки срока действия пароля с помощью OAuth?

0
источник поделиться
1 ответ

"Утечка", что причина такого сбоя, такая как "пароль был неправильным или истек", НЕ является лучшей практикой для аутентификации.

Я бы предположил, что "сервер" регистрирует причину сбоя и НЕ возвращает информацию запрашивающему.

0
источник

Посмотрите другие вопросы по меткам или Задайте вопрос