Является ли 400 подходящим кодом ошибки для ошибок проверки OAuth (http)?

Question

Привет, ребята: Каким должен быть правильный код ответа http для запроса, который, хотя и правильно сформирован, содержит недопустимый токен oauth?

Код ошибки 400, по-видимому, вводит в заблуждение, , поскольку, как мне кажется, неверный запрос oauth не является некорректным запросом.недопустимо), вызвать API-возврат результата в return, если код ответа 400 ....

Answer 1

С http://oauth.net/core/1.0a/#http_codes

HTTP 400 Bad Request
    Unsupported parameter
    Unsupported signature method
    Missing required parameter
    Duplicated OAuth Protocol Parameter
HTTP 401 Unauthorized
    Invalid Consumer Key
    Invalid / expired Token
    Invalid signature
    Invalid / used nonce

Таким образом, 401 является правильным.

Answer 2

Correct.

401 Unauthorized должен быть основным выбором для кода состояния ответа в вашем примере.

EDIT:

Я провел некоторое время, просматривая черновик OAuth2, и похоже, что они указывают следующее при сбое аутентификации клиента:

• обычно ДОЛЖЕН ответить 400 Bad Request, но
• МОЖЕТ ответить 401 Unauthorized и
• ДОЛЖЕН ответить 401 Unauthorized, если была предпринята попытка аутентификации с использованием заголовка запроса Authorization. Если это так, он также должен включать WWW-Authenticate в ответ.