OAuth 제공자에게 - 잘못된 OAuth 토큰 설계 모음

OAuth 제공자에게 - 잘못된 OAuth 토큰 설계 모음

• Github: 오류 처리에 200 대신 400, 401 상태 코드를 보내주세요.
• Facebook: 오류 토큰의 error 속성을 객체 대신 문자열로 바꿔주세요.
• Tiktok: client_key 인자를 client_id로 바꿔주세요.
• Strava: scope 인자에 반점(,)이 아닌 띄어쓰기(%20)로 바꿔주세요.
• Naver: 토큰 만기 일자를 문자열로 만들지 말아주세요.
• AWS Cognito: PKCE를 사용할 때도 HTTP Basic 인증을 사용할 수 있게 만들어주세요.
• 42, Atlassian, Box, Coinbase, Dribble, Facebook, Kakao, Line, Linear, LinkedIn, Naver, osu!, Patreon, Shikimori, Start.gg, Strava, Tiltify, Twitch, VK, WorkOS: 클라이언트 인증에 client_secret 인자 말고 HTTP Basic 인증을 사용해주세요.

https://pilcrowonpaper.com/blog/dear-oauth-providers/

pilcrow