なるほど、、プラグインの干渉ですね。
無事解決したようで何よりです!

ClosedSiteServiceProvider.php
L35 + $access_rules[] = array('/OAuth2', 'IS_AUTHENTICATED_ANONYMOUSLY');


上記パッチで回避、無事HttpResponseCode:200が返ってきました。
お手数おかけしました。

「会員限定サイトプラグイン for EC-CUBE3」の有効／無効で結果が異なることがわかりました。

今回の原因はこちらのプラグインですね。

URL解析を追加してログイン要求をパスさせる修正が必要になりそうです。


取り急ぎご連絡まで。

「https://<host>/index.php/OAuth2/v1/token」としてみましたが、状況は変わらないです。

ヘッダは下記の内容が返ってきますが、ヒントになりますでしょうか。
(クッキー情報は書き換えています)

Transfer-Encoding=chunked, keep-alive=timeout=5, max=100, Server=Apache, Cache-Control=no-cache, Access-Control-Allow-Origin=*, Access-Control-Allow-Methods=GET,POST,PUT,DELETE,OPTIONS, Connection=Keep-Alive, Set-Cookie=xxxxxxxxxxxxxx; path=/; secure; HttpOnly, Date=Sat, 24 Mar 2018 10:28:48 GMT, Access-Control-Allow-Headers=Origin, X-Requested-With, Content-Type, Accept, Authorization, Content-Type=text/html; charset=UTF-8}


(401の結果だと思いますが)ログイン画面というのは、管理者のログイン画面ではなく会員ログイン画面になります。

通常、管理画面のログイン画面が表示されるのは、 /admin 以下(インストール時に設定したディレクトリ)のみなので、 /OAuth/v1/token でログイン画面が表示されるのは、おかしい気がします。

https://<host>/index.php/OAuth2/v1/token

に、してみるといかがでしょう？？

元々は
https://<host>/admin/OAuth2/v0/authorize
https://<host>/OAuth2/v0/token

にアクセスしていましたが、返信を拝見してからconstant.ymlを編集しv1に切り替えてみました。

変更後はこちらですね。
https://<host>/admin/OAuth2/v1/authorize
https://<host>/OAuth2/v1/token

https://<host>/OAuth2/v1/tokenから帰ってくるのは変わらず401のままです。。。


swaggerも動作しないので、サイトそのものに問題があるのかな

ごめんなさい。見当違いなところを見ていました。

token エンドポイントの URL は、どのような URL を指定していますでしょうか？
authorization エンドポイントと異なり、 /admin 無しの URL が正しいです。

https://<eccube-host>/OAuth2/v1/token

ログイン画面が表示されてしまうということで、 管理画面の URL を指定していませんでしょうか？

引用：
確認させてください。

1. https://<eccube-host>/admin/OAuth2/v0/authorize?～ を叩く
2. ログインする
3. scopeを確認し 認証する
4. redirect_uriにcodeが返ってくる

という手順を踏んでいますがscopeは渡っていないのでしょうか？

あー、認可する scope が渡ってない感じですかね？？

返信ありがとうございます。

確かに現状は動作確認のためcode取得からtoken発行まで少々時間がかかっております。
それでも5秒はたっていないと思いますが。。。

codeが有効な時間はmsecオーダーなんでしょうか。


未記載の情報として
・ホストはhttpsでアクセス
・3.0.15のためhtml/.htaccessの401対策は適用済み