# OAuth 제공자에게 - 잘못된 OAuth 토큰 설계 모음

> Clean Markdown view of GeekNews topic #18224. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=18224](https://news.hada.io/topic?id=18224)
- GeekNews Markdown: [https://news.hada.io/topic/18224.md](https://news.hada.io/topic/18224.md)
- Type: news
- Author: [carnoxen](https://news.hada.io/@carnoxen)
- Published: 2024-12-12T12:41:14+09:00
- Updated: 2024-12-12T12:41:14+09:00
- Original source: [pilcrowonpaper.com](https://pilcrowonpaper.com/blog/dear-oauth-providers/)
- Points: 23
- Comments: 5

## Summary

OAuth Provider들이 잘못하고 있는 점들을 꼬집는 글입니다. GitHub은 오류 처리 시 200 대신 400이나 401 상태 코드를 보내야 하며, Facebook은 오류 토큰의 `error` 속성을 문자열로 변경해야 합니다. Naver는 "expires_in" 을 문자열로 주고 있다네요. Tiktok은 `client_key`를 `client_id`로, Strava는 `scope` 인자의 구분자를 반점 대신 띄어쓰기로 변경해야 합니다. 그리고 네이버/카카오를 포함한 수많은 OAuth 제공자에게 클라이언트 인증에 `client_secret` 대신 HTTP Basic 인증을 사용하라고 이야기하네요.

## Topic Body

* Github: 오류 처리에 200 대신 400, 401 상태 코드를 보내주세요.  
* Facebook: 오류 토큰의 `error` 속성을 객체 대신 문자열로 바꿔주세요.  
* Tiktok: `client_key` 인자를 `client_id`로 바꿔주세요.  
* Strava: `scope` 인자에 반점(,)이 아닌 띄어쓰기(`%20`)로 바꿔주세요.  
* Naver: 토큰 만기 일자를 문자열로 만들지 말아주세요.  
* AWS Cognito: PKCE를 사용할 때도 HTTP Basic 인증을 사용할 수 있게 만들어주세요.  
* 42, Atlassian, Box, Coinbase, Dribble, Facebook, Kakao, Line, Linear, LinkedIn, Naver, osu!, Patreon, Shikimori, Start.gg, Strava, Tiltify, Twitch, VK, WorkOS: 클라이언트 인증에 `client_secret` 인자 말고 HTTP Basic 인증을 사용해주세요.

## Comments



### Comment 32388

- Author: yg1ee
- Created: 2024-12-16T10:30:53+09:00
- Points: 3

"Your server, for whatever fucking reason, returns a string for the token expiration."  
f word를 받은 건 네이버가 유일한데요 ㅋㅋㅋ?

### Comment 32366

- Author: bluekai17
- Created: 2024-12-16T09:12:18+09:00
- Points: 1

to.naver  
The "expires_in" parameter is represented in seconds and is a JSON number.

### Comment 32318

- Author: nxhtk
- Created: 2024-12-13T16:09:47+09:00
- Points: 1

네이버 저건 좀 심각하네요 ㅋㅋㅋㅋ  
expires_in을 문자열로 주다니

### Comment 32314

- Author: smboy86
- Created: 2024-12-13T12:44:12+09:00
- Points: 1

출처가 어딘지 모르겟지만  
대기업에서 제공하는 서비스도  
혼(?)나긴하네요 ㅎㅎ

### Comment 32293

- Author: cnaa97
- Created: 2024-12-13T09:34:28+09:00
- Points: 1

ㅋㅋㅋ