勘误编号:3500

    状态:已核实

    类型:编辑

    报告者:John Field

    报告日期:2013-02-26

    审核者:Stephen Farrell

    审核日期:2013-03-16

    4.1节:

    • (E)授权服务器对客户端进行身份验证,验证授权代码,并确保接收的重定向URI与在步骤(C)中用于重定向客户端的URI相匹配。如果通过,授权服务器响应返回访问令牌与可选的刷新令牌。

    应该是:

    • (E)授权服务器对客户端进行身份验证,验证授权代码,并确保接收的重定向URI与在步骤(C)中用于重定向(资源所有者的用户代理)到客户端的URI相匹配。如果通过,授权服务器响应返回访问令牌与可选的刷新令牌。

    备注:

    问题中的URI是用于重定向资源所有者的用户代理回到客户端传送代码的URI。(E)步骤中原文好像说该URI用于重定向客户端,但是我认为这是对“客户端”这个词的不明确/不准确的使用。OAuth客户端不会使用URI被重定向,资源所有者的用户代理会被重定向客户端。

    插入的“(资源所有者的用户代理)”会更准确但是可能会太冗长了。我觉得,至少,我们必须说“……该URI用于在步骤(C)中重定向客户端。”