OAuthプロバイダーへ - 誤ったOAuthトークン設計のまとめ

carnoxen · 2024-12-12T12:41:14+09:00

Github: エラー処理では 200 ではなく 400、401 のステータスコードを返してください。 Facebook: エラートークンの error 属性を、オブジェクトではなく文字列に変更してください。 Tiktok: client_key 引数を client_id に変更してください。 Strava: scope 引数はコンマ (,) ではなく空白区切り(%20) にしてください。 Naver: トークンの有効期限日時を文字列にしないでください。 AWS Cognito: PKCE を使う場合でも HTTP Basic 認証を使えるようにしてください。 42, Atlassian, Box, Coinbase, Dribble, Facebook, Kakao, Line, Linear, LinkedIn, Naver, osu!, Patreon, Shikimori, Start.gg, Strava, Tiltify, Twitch, VK, WorkOS: クライアント認証では client_secret 引数ではなく HTTP Basic 認証を使ってください。

(pilcrowonpaper.com)

23 ポイント投稿者 carnoxen 2024-12-12 | 5件のコメント | WhatsAppで共有

Github: エラー処理では 200 ではなく 400、401 のステータスコードを返してください。
Facebook: エラートークンの error 属性を、オブジェクトではなく文字列に変更してください。
Tiktok: client_key 引数を client_id に変更してください。
Strava: scope 引数はコンマ (,) ではなく空白区切り(%20) にしてください。
Naver: トークンの有効期限日時を文字列にしないでください。
AWS Cognito: PKCE を使う場合でも HTTP Basic 認証を使えるようにしてください。
42, Atlassian, Box, Coinbase, Dribble, Facebook, Kakao, Line, Linear, LinkedIn, Naver, osu!, Patreon, Shikimori, Start.gg, Strava, Tiltify, Twitch, VK, WorkOS: クライアント認証では client_secret 引数ではなく HTTP Basic 認証を使ってください。

5件のコメント

yg1ee 2024-12-16

"Your server, for whatever fucking reason, returns a string for the token expiration."
f word を食らったのはネイバーだけなんですが、www?

bluekai17 2024-12-16

to.naver
"expires_in" パラメータは秒単位で表され、JSONの数値です。

nxhtk 2024-12-13

NAVERのあれはちょっと深刻ですねｗｗｗ
expires_in を文字列で渡すなんて

smboy86 2024-12-13

出典がどこなのか分かりませんが
大企業が提供するサービスでも
叱られてしまうんですね（笑）

cnaa97 2024-12-13

www

OAuthプロバイダーへ - 誤ったOAuthトークン設計のまとめ

関連記事

5件のコメント