Oauth 2.0 Google OpenID连接错误响应是否一致？_Oauth 2.0_Google Oauth_Openid Connect_Google Openidconnect

Oauth 2.0 Google OpenID连接错误响应是否一致？

oauth-2.0

Oauth 2.0 Google OpenID连接错误响应是否一致？,oauth-2.0,google-oauth,openid-connect,google-openidconnect,Oauth 2.0,Google Oauth,Openid Connect,Google Openidconnect,我将使用授权代码流作为依赖方集成到Google OpenID Connect。如果我在AuthenticationRequest中发送了一个无效参数，例如scope的无效值，Google会在网页中显示错误，例如“某些请求的作用域无效…” OpenID Connect规范（和OAuth规范）明确指出：“除非重定向URI无效，否则授权服务器将使用适当的错误和状态参数将客户端返回到授权请求中指定的重定向URI。” 我的请求是否有问题，或者我是否误解了规范，或者Google在发送错误响应时是否不符合规范

我将使用授权代码流作为依赖方集成到Google OpenID Connect。如果我在

AuthenticationRequest

中发送了一个无效参数，例如

scope

的无效值，Google会在网页中显示错误，例如“某些请求的作用域无效…”

OpenID Connect规范（和OAuth规范）明确指出：“除非重定向URI无效，否则授权服务器将使用适当的错误和状态参数将客户端返回到授权请求中指定的重定向URI。”

我的请求是否有问题，或者我是否误解了规范，或者Google在发送错误响应时是否不符合规范？

听起来Google在这里有点不符合规范：

my的步骤10展示了基于标准的行为

作为OIDC客户端的开发人员，您需要接受某些无效输入将显示在浏览器中：

无效的客户端\u id/重定向\u uri

我倾向于使用一个无效的作用域来测试错误响应——这很方便——我猜您也在这样做

大型云供应商的解决方案通常会遇到这种麻烦——作为消费者，我们只需要基于标准的解决方案。

好的，谢谢，很高兴知道我不是唯一一个看到这种情况的人。我同意，客户端id和重定向uri错误不应该（通常不能）返回给客户端，因此这些错误需要以另一种方式处理。