<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <p>Hi,</p>
    <p>Wouldn't it be relevant to reuse OAuth error codes when relevant
      ? (<a class="moz-txt-link-freetext" href="https://tools.ietf.org/html/rfc6749#section-4.1.2.1">https://tools.ietf.org/html/rfc6749#section-4.1.2.1</a>)</p>
    <p>Especially for :</p>
    <p><u> general_failure vs server_error :  </u><br>
    </p>
    <pre class="newpage">server_error
               The authorization server encountered an unexpected
               condition that prevented it from fulfilling the request.
               (This error code is needed because a 500 Internal Server
               Error HTTP status code cannot be returned to the client
               via an HTTP redirect.)</pre>
    <p>and <br>
    </p>
    <p><u>consent_failure vs access_denied :</u></p>
    <p> </p>
    <pre class="newpage">access_denied
               The resource owner or authorization server denied the
               request.</pre>
    <p>Aligned with "In general endpoint should not be too chatty about
      authentication errors or information about users..." !</p>
    <p>Charles.<br>
    </p>
    <p><br>
    </p>
    <br>
    <div class="moz-cite-prefix">Le 25/01/2017 à 14:05,
      <a class="moz-txt-link-abbreviated" href="mailto:Axel.Nennker@telekom.de">Axel.Nennker@telekom.de</a> a écrit :<br>
    </div>
    <blockquote
cite="mid:f7a291b158be41a58307f3b649f64836@HE101654.emea1.cds.t-internal.com"
      type="cite">
      <pre wrap="">Hi all,

There is a proposal to add the following error codes to CIBA:

general_failure : any unrecognized errors, or system level failures. 
consent_failure : user rejected the consent  but authenticated successfully. 
invalid_polling_token : polling token received  by  ID GW is erroneous , invalid 
response_already_sent :  second time re-use of the same polling token. 

I think that general_failure is not needed because that is HTTP 500 already.
I think that invalid_polling_token is not needed because that could be just treated as an OAUTH2 client authentication failure.

Not sure about the other two. In general endpoint should not be too chatty about authentication errors or information about users...

"response_already_sent" is something like an authentication error again.

"consent_failure" gives information about the user which they not necessarily want to reveal...

WDYT?

//Axel


From: Openid-specs-mobile-profile [<a class="moz-txt-link-freetext" href="mailto:openid-specs-mobile-profile-bounces@lists.openid.net">mailto:openid-specs-mobile-profile-bounces@lists.openid.net</a>] On Behalf Of Nennker, Axel
Sent: Wednesday, January 25, 2017 1:56 PM
To: <a class="moz-txt-link-abbreviated" href="mailto:openid-specs-mobile-profile@lists.openid.net">openid-specs-mobile-profile@lists.openid.net</a>
Subject: [Openid-specs-mobile-profile] CIBA error codes

Hi all,

Gonza took the time and updated the CIBA error codes.

Please review.
<a class="moz-txt-link-freetext" href="https://xml2rfc.tools.ietf.org/cgi-bin/xml2rfc.cgi?Submit=Submit&format=ascii&mode=html&type=ascii&url=https://bitbucket.org/openid/mobile/raw/tip/draft-mobile-client-initiated-backchannel-authentication.xml?at=default#auth_error_response">https://xml2rfc.tools.ietf.org/cgi-bin/xml2rfc.cgi?Submit=Submit&format=ascii&mode=html&type=ascii&url=https://bitbucket.org/openid/mobile/raw/tip/draft-mobile-client-initiated-backchannel-authentication.xml?at=default#auth_error_response</a>

kind regards
Axel
_______________________________________________
Openid-specs-mobile-profile mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Openid-specs-mobile-profile@lists.openid.net">Openid-specs-mobile-profile@lists.openid.net</a>
<a class="moz-txt-link-freetext" href="http://lists.openid.net/mailman/listinfo/openid-specs-mobile-profile">http://lists.openid.net/mailman/listinfo/openid-specs-mobile-profile</a>

</pre>
    </blockquote>
    <br>
    <div class="moz-signature">-- <br>
      <font face="TIMES"><font size="2">
          <img src="cid:part1.68E2C201.5FB4EB5F@orange.com" <br="">
          <font color="BLACK">
            <br>
            <b> MARAIS Charles </b><br>
            <b> Orange Labs Lannion</b></font><br>
          Tel : +33 (0)2 96 07 24 18 <br>
          <a href="mailto:charles.marais@orange.com">charles.marais@orange.com</a><br>
          Orange Labs Lannion <br>
          2, avenue Pierre Marzin <br>
          22307 LANNION Cedex - France
          <br>
          <br>
          <br>
        </font></font></div>
  <PRE>_________________________________________________________________________________________________________________________

Ce message et ses pieces jointes peuvent contenir des informations confidentielles ou privilegiees et ne doivent donc
pas etre diffuses, exploites ou copies sans autorisation. Si vous avez recu ce message par erreur, veuillez le signaler
a l'expediteur et le detruire ainsi que les pieces jointes. Les messages electroniques etant susceptibles d'alteration,
Orange decline toute responsabilite si ce message a ete altere, deforme ou falsifie. Merci.

This message and its attachments may contain confidential or privileged information that may be protected by law;
they should not be distributed, used or copied without authorisation.
If you have received this email in error, please notify the sender and delete this message and its attachments.
As emails may be altered, Orange is not liable for messages that have been modified, changed or falsified.
Thank you.
</PRE></body>
</html>