Aller au contenu principal

3. Le champ d'en-tête de réponse WWW-Authenticate

Si la requête de ressource protégée n'inclut pas d'informations d'authentification ou ne contient pas un jeton d'accès qui permet l'accès à la ressource protégée, le serveur de ressources doit inclure le champ d'en-tête de réponse HTTP « WWW-Authenticate ».

Tous les défis définis par cette spécification doivent utiliser la valeur auth-scheme « Bearer ». Ce schéma doit être suivi d'une ou plusieurs valeurs auth-param.

L'attribut « scope » est défini dans la section 3.3 de [RFC6749]. L'attribut « scope » est une liste délimitée par des espaces de valeurs de portée sensibles à la casse indiquant la portée requise du jeton d'accès pour accéder à la ressource demandée.

Exemple de réponse à une requête de ressource protégée sans authentification :

HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer realm="example"

3.1. Codes d'erreur (Error Codes)

Lorsqu'une requête échoue, le serveur de ressources répond en utilisant le code d'état HTTP approprié (généralement 400, 401, 403 ou 405) et inclut l'un des codes d'erreur suivants dans la réponse :

invalid_request : La requête manque un paramètre requis, inclut un paramètre ou une valeur de paramètre non pris en charge, répète le même paramètre, utilise plus d'une méthode pour inclure un jeton d'accès, ou est autrement mal formée.

invalid_token : Le jeton d'accès fourni est expiré, révoqué, mal formé ou invalide pour d'autres raisons.

insufficient_scope : La requête nécessite des privilèges plus élevés que ceux fournis par le jeton d'accès.

Dernière mise à jour le