4
Ich lese die oauth2 specs und ich bin verwirrt von unauthorized_client und access_denied Fehlercodes. Sie scheinen die gleiche Fehlerbedingung auszudrücken, nicht wahr? Auf den ersten Blick (nach Fehlercode) dachte ich, dass einer für einen Authentifizierungsfehler und der andere für einen Autorisierungsfehler ist, aber es handelt sich tatsächlich beide um einen Autorisierungsfehler, der in einen http 403-Statuscode übersetzt werden würde.Was ist der Unterschied zwischen unauthorized_client und access_denied
unauthorized_client
The client is not authorized to request an access token
using this method.
access_denied
The resource owner or authorization server denied the
request.
unauthorized_client kommt, wenn Ihr clientId und clientSecret nicht passend sehen können. access_denied kommt, wenn Sie ein legitimer Benutzer sind, aber keine Berechtigung haben, bestimmte Operationen auszuführen. – Azim
Sollte kein Authentifizierungsfehler auftreten, wenn die Anmeldeinformationen (clientId und clientSecret) nicht übereinstimmen? Warum wäre unauthorized_client? Die Beschreibung besagt auch, dass "der Client nicht berechtigt ist, ein Zugriffstoken anzufordern", nicht dass der Client und das Geheimnis falsch sind. Übrigens gibt es einen spezifischen Fehler für falsch übereinstimmende Anmeldeinformationen: 'invalid_grant' -' Die angegebene Berechtigungsgewährung (z. B. Autorisierungscode, Anmeldeinformationen des Ressourceneigentümers) oder Aktualisierungstoken ist ungültig, abgelaufen, widerrufen stimmt nicht mit dem in der Autorisierungsanforderung verwendeten Umleitungs-URI überein oder oder wurde an einen anderen Kunden ausgegeben " – themihai