OAuth 1.0 仕様では、次の WWW-Authenticate ヘッダーで応答することが推奨されています。
WWW-Authenticate: OAuth realm="http://server.example.com/"
このヘッダーに他の有益なデータを追加することは適切ですか? 保護されたリソースのリクエストが失敗した場合、その理由に関する情報を含めることは合理的でしょうか? そのような:
WWW-Authenticate: OAuth realm="http://server.example.com/", access token invalid
それとも、これは応答ヘッダーの目的に反していますか?
私には少し疑わしいように聞こえます。WWW-Authenticateヘッダーは RFC によって指定されていますが、これはあなたが与えた例を禁止しているようです。OAuth 仕様では、RFC で定義されている他のフィールドを含めることができると述べていますがWWW-Authenticate、末尾に任意の文字列を追加することはできません。目的に合わせてひねることができる定義済みのフィールドがない限り、私はそれを避けます。
それを行うのは仕様に反しており、そうでない場合はおそらく次のようになります。
realm="http://server.example.com", oauth_error="access token invalid"
このようなもの、またはおそらくX-OAuth-Errorヘッダーには、応答本文を使用することをお勧めします。