6.7. "Стандарт Банка России "Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации openid connect клиентом потока аутентификации по отдельному каналу. Требования" СТО БР ФАПИ.ПАОК-1.0-2021" (принят и введен в действие приказом Банка России от 23.07.2021 N ОД-1536)

При использовании режима Push сообщения об ошибках в ответах от конечной точки уведомления клиента отправляются с использованием полезной нагрузки в формате "application/json" и следующих параметров:

- <error_description>: (опциональный) читаемый человеком текст ASCII [USASCII], предоставляющий дополнительную информацию, используемый для помощи разработчику клиента в понимании возникшей ошибки. Значения параметра <error_description> не должны включать символы вне набора "% x20-21/% x23-5B/% x5D-7E;".

- <error>: (обязательный) ASCII код ошибки.

- <auth_req_id>: (опциональный) идентификатор запроса аутентификации.

При этом в качестве кода ошибки <error> используются следующие значения:

- "access_denied": конечный пользователь отклонил запрос авторизации.

- "expired_token": срок токена доступа истек.

Примечание. Поставщик OpenID может не отправлять эту ошибку, но клиент должен поддерживать ее обработку.

- "transaction_failed": сервер авторизации столкнулся с неопределенной ошибкой, которая не позволила ему успешно завершить транзакцию. Этот код ошибки может использоваться для информирования клиента о том, что транзакция была неудачной по причинам, отличным от тех, которые явно определены кодами ошибок "access_denied" и "expired_token".