在 OAuth 1.0 spec建议使用以下 WWW-Authenticate header 进行响应:
WWW-Authenticate: OAuth realm="http://server.example.com/"
是否适合向此 header 添加任何其他信息数据?如果对 protected 资源的请求失败,包含一些有关原因的信息是否合理?如:
WWW-Authenticate: OAuth realm="http://server.example.com/", access token invalid
还是这与响应头的目的相反?
最佳答案
对我来说听起来有点可疑。 WWW-Authenticate
header 由 an RFC 指定,这似乎禁止你给出的例子。 OAuth 规范说你可以包含其他 WWW-Authenticate
RFC 定义的字段,而不是您可以将任意字符串添加到它的末尾。我会避免它,除非有一个定义的领域,你可以扭曲你的目的。
关于oauth - OAuth 提供程序的正确 WWW-Authenticate header ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8341763/