OAuth autorizace neodpovida RFC

Václav Nováček

Dobry den,
zjistil jsem ze nefunguje OAuth prihlasovani pomoci Seznamu v Authentiku.
Po podrobnem prozkoumani jsem nasel problem, ze vas OAuth server vyzaduje mit client_id a client_secret v tele token pozadavku, coz odporuje specifikaci
https://datatracker.ietf.org/doc/html/rfc6749#section-2.3.1
ta vyzaduje mit autorizaci v hlavicce a volitelne v tele pozadavku.

Kdyz se posle autorizace jen v hlavicce, tak jak to dela podle specifikace Authentik, odpoved vaseho serveru je:
400 {"error": "invalid_grant", "message": "client_id mismatch"}

Zde je issue Authentiku, ktera to vysvetluje... https://github.com/goauthentik/authentik/pull/12713

Prosim o opravu, dekuji.

Ondřej Žára

Dobry den,

mate pravdu. Zatim stale plati stanovisko, kterym jsem na stejnou otazku odpovidal pred casem ve vlakne https://napoveda.seznam.cz/forum/threads/173207/1 -- implementaci nevylucujeme, ale zaroven ani neslibujeme.

Václav Nováček

Dekuji za reakci, Authentik ve verzi 2025.4 jiz umoznuje zvolit zda mit autorizaci v hlavicce nebo v tele pozadavku, coz resi tuto vec.
Nyni jsem ale narazil na dalsi problem se scope "identity", ktery nema standardni field "sub" pro identifikaci uzivatele, ale proprietarni "oauth_user_id".

Ondřej Žára 0

Dobry den,

pokud mate na mysli volani /user, pak toto nenasleduje zadny konkretni standard. Polozky jim vracene jsou popsany na https://vyvojari.seznam.cz/oauth/doc. Nektere z nich jsou "pro usporu casu" vlozeny taktez do odpovedi na /token, ale stale je to nase vlastni rozsireni -- RFC 6749 se o nich myslim nijak nezminuje.