OAuth 2.0 授權錯誤

錯誤可能會在 OAuth 授權期間發生。例如，使用者會拒絕對連線應用程式的存取，或者要求參數不正確。發生錯誤時,授權伺服器會將錯誤與錯誤代碼傳送至回呼 URL。

必要版本

提供版本：Salesforce Classic 與 Lightning Experience

提供版本：所有版本

OAuth 授權錯誤會根據授權流程而有不同的格式。以下是每個受支援 OAuth 流程的範例。

此錯誤是來自 OAuth 2.0 Web 伺服器流程，使用者會在此流程中拒絕對連線應用程式的存取：
```
https://www.mycustomerorderstatus/code_callback.jsp?error=access-denied
```

以下是來自 OAuth 2.0 使用者代理程式流程的相同錯誤：

https://www.customercontactinfo.com/user_callback.jsp#error=access_denied

如果在 OAuth 2.0 JWT 承載者流程中發生錯誤，則授權伺服器會使用標準 OAuth 錯誤回應來回覆。此回應包含權杖被視為無效的原因。如需詳細資訊,請參閱 https://tools.ietf.org/html/rfc7523。此範例顯示 JSON 格式的範例錯誤回應。
```
HTTP/1.1 400 Bad Request
Content-Type: application/json
Cache-Control: no-store
{
  "error":"invalid_grant",
  "error_description":"Audience validation failed"
}
```

以下是 OAuth 2.0 重新整理權杖流程中傳回錯誤的範例。

{"error":"invalid_grant","error_description":"expired access/refresh token"}

此範例錯誤回應會在處理 SAML 承載者判斷。

HTTP/1.1 400 Bad Request
Content-Type: application/json
Cache-Control: no-store
{
  "error":"invalid_grant",
  "error_description":"Audience validation failed"
}

這裡是 SAML 判斷流程中的範例錯誤。此流程包含錯誤 URI，這是「SAML 判斷驗證程式」的連結。驗證程式包含失敗的詳細資訊。僅在 Salesforce 能夠剖析判斷時才會傳回錯誤 URI。
```
{"error_uri":"https://yourInstance.salesforce.com/setup/secur/SAMLValidationPage.apexp",
"error":"invalid_grant","error_description":"invalid assertion"} 
```

錯誤代碼

若要協助疑難排解發生錯誤的原因,請檢閱下列錯誤代碼與原因。

錯誤	原因
`access_denied`	使用者拒絕對用戶端應用程式的存取。
`authorization_pending`	針對裝置流程,使用者尚未批准裝置進行存取。
`CSRF`	Salesforce 偵測到潛在的跨站台偽造要求 (CSRF) 攻擊。我們無法確認登入要求來自正確的網域。
`ERROR_CREATING_USER`	發生下列其中一種情況。使用者名稱不唯一。該電子郵件已有連絡人存在。使用者不具備授權。您已超出組織的儲存限制。
`immediate_unsuccessful`	`immediate` 參數設定為 `true`,且使用者未登入或先前未批准用戶端的存取權。
`inactive_org`	組織遭鎖定、關閉或已暫停。
`inactive_user`	組織的管理員將使用者設為停用。
`invalid_app_access`	管理員未批准使用者存取此應用程式。
`invalid_assertion_type`	不支援指定的判斷類型。
`invalid_client`	用戶端密碼無效。
`invalid_client_id`	用戶端識別碼無效。
`invalid_grant`	以下其中一項：授權代碼無效。針對 SAML 判斷式流程,請確定用戶端傳送 URL 編碼的 `assertion` 和 `assertion_type`。使用者認證無效。使用者無效。判斷無效。受眾無效。 IP 受限制或登入時數無效。表示 `code_verifier` 值無效 (例如不是 base64 編碼) 或不是指定 `code_challenge` 的有效驗證者。表示未指定 `code_challenge`,因此未預期但已指定該 `code_verifier`。使用者尚未批准連線應用程式。驗證失敗。若是裝置流程，未針對連線應用程式的裝置啟用流程，或是 Salesforce 伺服器無法授與存取權杖。若是重新整理權杖流程，則重新整理或存取權杖已過期。針對用戶端認證流程,主機網域不支援要求。針對此流程,不支援對 `https://login.salesforce.com` 和 `https://test.salesforce.com` 的要求。請改用「我的網域 URL」。
`invalid_request`	以下其中一個錯誤。需要 HTTPS。需要 HTTP GET。需要 HTTP POST。 `Code_challenge` 值是無效的，例如，不是 Base64 編碼。流程不支援且未預期 `code_challenge` 參數。不支援頻外。 JWT 承載者與 SAML 判斷承載者流程需要 `refresh_token` 範圍。安裝並預先授權應用程式。若是裝置流程，則輪詢要求中指定的裝置代碼無效。若是使用者名稱密碼流程，則不支援 `scope` 參數。若是重新整理權杖流程，則不支援機密類型。
`invalid_scope`	要求的範圍無效、未知或格式錯誤。
`NO_ACCESS`	找不到使用者。例如，沒有使用者名稱。
`No_OAuth_State`	OAuth 狀態已變更或遺失。
`No_Openid_Response`	使用者資訊端點 URL 無效。
`rate_limit_exceeded`	超過登入嘗試次數。
`redirect_uri_mismatch`	重新導向 URI 與連線應用程式的定義不相符。
`redirect_uri_missing`	未提供重新導向 URI。
`REGISTRATION_HANDLER_ERROR`	針對驗證提供者，您的註冊處理常式 Apex 程式碼發生問題。
`server_error`	用戶端應用程式中授權要求數超過每小時的限制。
`slow_down`	若是裝置流程，則用戶端應用程式輪詢授權伺服器的頻率高於建議的最小間隔值。
`unsupported_response_type`	不支援要求的回應類型。

此文章是否解決您的問題？

請讓我們知道，以便我們改進！

此文已使用 Salesforce 機器翻譯系統翻譯。更多詳細資料請參見此處。

OAuth 2.0 授權錯誤

必要版本

錯誤代碼

General Information

Required Cookies

Functional Cookies

Advertising Cookies

General Information

Required Cookies

Functional Cookies

Advertising Cookies

Cookie List

此文已使用 Salesforce 機器翻譯系統翻譯。更多詳細資料請參見此處。切換至英文不要現在

產品區域

功能影響

版本

經驗

OAuth 2.0 授權錯誤

必要版本

錯誤代碼

此文已使用 Salesforce 機器翻譯系統翻譯。更多詳細資料請參見此處。