배경 나머지 API와 통신 할 수있는 스파 및 모바일 앱을 구축 중입니다. 별도의 인증 서버를 사용하여 사용자 (리소스 소유자)를 관리하고 oAuth2 4.3 리소스 소유자 암호 자격 증명이 내 응용 프로그램에 적합한 지 생각합니다. As described in the specification 사용자 (리소스 소유자)는 나머지 API (클라이언트)와 직접
rfc6749을 기반으로 oauth2 공급자를 개발 중이며 Access Token Request에 redirect_uri가 필요한 이유는 무엇입니까?/토큰 끝 점이 리디렉션되지 않고 상태가 이미 유효성이 검증 된 상태 (즉 CSRF)로 가정되므로 redirectURI 사본이 나에게별로 의미가 없습니다.
나는 oauth2 specs을 읽고 있는데 나는 unauthorized_client과 access_denied 오류 코드로 혼동합니다. 그들은 같은 오류 조건을 표현하는 것 같은가요? 얼핏 보면 (오류 코드에 의해) 저는 인증 실패에 대한 것이고 다른 하나는 인증 실패에 대한 것이라고 생각했지만 실제로 그들은 모두 HTTP 403 상태 코드로 변환되는 인증