客户端凭证授权
当客户端请求访问它所控制的,或者事先与授权服务器协商的其他资源所有者的受保护资源,客户端可以只使用它的客户端凭据(或者其他受支持的身份验证方法)请求访问令牌。
客户端凭据许可类型必须只能由机密客户端使用。
流程
+---------++---------------+ | || | | |>--(A)- Client Authentication --->| Authorization | | Client|| Server| | |<--(B)---- Access Token ---------<| | | || | +---------++---------------+
(A)客户端与授权服务器进行身份验证并向令牌端点请求访问令牌。
由于客户端身份验证被用作授权许可,所以不需要其他授权请求。
(B)授权服务器对客户端进行身份验证,如果有效,颁发访问令牌。
请求参数说明:
参数 | 参数说明 | 是否必填 | 备注 |
---|---|---|---|
grant_type | 授权类型 | 必填 | 此处的值必须为client_credentials |
scope | 申请的权限范围 | 可选项 |
客户端使用传输层安全发起如下HTTP请求:
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=client_credentials
授权服务器必须:
- 要求对的客户端进行身份验证,
- 若包括了客户端身份验证,验证客户端身份,并使用它现有的密码验证算法验证资源所有者的密码凭据。
授权服务器对客户端身份验证,验证用户身份。如果有效,向客户端提供访问令牌。
如果访问令牌请求是有效的且被授权,授权服务器颁发访问令牌。刷新令牌不应该包含在内。如果请求客户端身份验证失败或无效,授权服务器返回错误响应。
成功响应示例:
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache
{"access_token":"2YotnFZFEjr1zCsicMWpAA","token_type":"example","expires_in":3600, "example_parameter":"example_value"
}
响应参数说明:
参数 | 参数说明 | 是否必填 | 备注 |
---|---|---|---|
access_token | 访问令牌 | 必填 | |
token_type | 令牌类型 | 必填 | 该值大小写不敏感 |
expires_in | 过期时间,单位为秒。 | 可选 | 如果省略该参数,必须其他方式设置过期时间。 |
example_parameter | 其他参数 | 可选 |
使用场景
- 客户端模式应用于应用程序想要以自己的名义与授权服务器以及资源服务器进行互动。
- 例如使用了第三方的静态文件服务