OAuth提供程序的正确WWW-Authenticate标头

Question

在OAuth 1.0 spec中，建议使用以下WWW-Authenticate报头进行响应：

WWW-Authenticate: OAuth realm="http://server.example.com/"

是否适合在此标头中添加任何其他信息性数据？在对受保护资源的请求失败的情况下，包含一些关于原因的信息是否合理？例如：

WWW-Authenticate: OAuth realm="http://server.example.com/", access token invalid

或者这与响应头的目的相反？

Answer 1

对我来说听起来有点可疑。WWW-Authenticate头是由an RFC指定的，这似乎禁止了您给出的示例。OAuth规范规定，您可以包含由WWW-Authenticate定义的其他RFC字段，而不是只能在其末尾添加任意字符串。我会避免它，除非有一个定义的字段，你可以扭曲你的目的。

Answer 2

对于偶然发现这一点的任何人，请注意：OAuth 2.0 bearer token spec将" error“、"error_description”和"error_uri“属性添加到"WWW-Authenticate”头以报告额外的错误信息，并指定何时应该和不应该使用它们。

例如：

 HTTP/1.1 401 Unauthorized
 WWW-Authenticate: Bearer realm="example",
                   error="invalid_token",
                   error_description="The access token expired"

Answer 3

这样做是违反规范的，如果不是这样，可能会是这样的：

realm="http://server.example.com", oauth_error="access token invalid"

我建议您使用响应体，或者使用X-OAuth-Error头。