0
OAuth 2.0 password flowを使用してユーザーを認証するAPIを作成しています。アクセストークンの要求が拒否された場合、クライアントがパスワードが間違っているか期限切れであるかどうかを判断する方法はないようです。OAuth 2.0アクセストークンを取得する際のパスワードの有効期限
は、クライアントが必要な行動を取ることができるように、それは許容パスワードの有効期限が切れていることを述べるために応答にinvalid_grant:the specから、
invalid_grant
のエラーコードが両方のケースで返されるべき提供の権限付与(例えば、認可コード、リソースの所有者の認証情報)やリフレッシュトークンが無効で、有効期限が切れ、失効し、一致していません。承認リクエストで使用されたリダイレクトURI、または別のクライアントに発行されたURI。
error_description
を使用することです、とされていない場合、OAuthのでパスワードの有効期限を処理するための標準的なアプローチは何ですか?
私は、ログインに失敗した理由を返すことがセキュリティ上の懸念になることに同意します。どのようにして、ログインフォームを持つクライアントアプリケーションは、「ログインに失敗しましたか」というエラーメッセージを表示するか、ユーザーを更新パスワードページにリダイレクトするかを選択できますか? – Coder1095
IMHOでは、クライアントはログインページをホストしてはいけません。ログインページはIDP(GoogleまたはFacebookまたは...)によってホストされ、実行するリダイレクトを知っています。認証が必要な場合は、OAuthではなくOpenID Connectを使用する必要があります。 https://oauth.net/articles/authentication/ – jwilleke