Сервер OAuth (включая поставщиков Open ID Connect) должен проверить nonce
клиента, если он указан, чтобы убедиться, что тот же самый не использовался за последние 5 минут.Что такое код ошибки OAuth для вывода, когда nonce уже используется?
Все это имеет смысл, но мой вопрос просто, что ли сервер возвращается в ?error=...
, если он нашел, что nonce уже был использован?
Я сделал несколько десятков поисков в Интернете, в RFC и в каком-то SDK-коде, но я не могу найти, где будет возвращена ошибка и каков будет код.
Откуда:/spec/RFC вы получили это требование? –
Возможно, я запутал ответственность клиента с сервером, потому что нет явного требования, указанного в спецификации Open ID Connect или RFC от OAuth. Ни одна из спецификаций на самом деле не говорит *, что делать с nonce, кроме как «использовать его для предотвращения повторных атак». Учитывая это, мне кажется разумным, что если сервер дважды увидит одно и то же слово в коротком окне, он вернет ошибку. Мысли? –