2. Authentifizierte Anfragen (Authenticated Requests)

Dieser Abschnitt definiert drei Methoden zum Senden von Bearer-Zugriffstoken in Ressourcenanforderungen an Ressourcenserver. Clients dürfen nicht mehr als eine Methode verwenden, um das Token in jeder Anfrage zu übertragen.

2.1. Authorization-Anforderungsheaderfeld

Beim Senden des Zugriffstokens im „Authorization"-Anforderungsheaderfeld, das durch HTTP/1.1 [RFC2617] definiert ist, verwendet der Client das „Bearer"-Authentifizierungsschema, um das Zugriffstoken zu übertragen.

Beispiel:

GET /resource HTTP/1.1
Host: server.example.com
Authorization: Bearer mF_9.B5f-4.1JqM

2.2. Formular-kodierter Body-Parameter

Beim Senden des Zugriffstokens im HTTP-Anforderungsentitätskörper fügt der Client das Zugriffstoken dem Anforderungskörper mithilfe des Parameters „access_token" hinzu.

2.3. URI-Abfrageparameter

Beim Senden des Zugriffstokens in der HTTP-Anforderungs-URI fügt der Client das Zugriffstoken der Anforderungs-URI-Abfragekomponente hinzu.

Aufgrund der Sicherheitsschwächen, die mit der URI-Methode verbunden sind, sollte sie nicht verwendet werden, es sei denn, es ist unmöglich, das Zugriffstoken im „Authorization"-Anforderungsheaderfeld zu transportieren.

2.1. Authorization-Anforderungsheaderfeld​

2.2. Formular-kodierter Body-Parameter​

2.3. URI-Abfrageparameter​

2.1. Authorization-Anforderungsheaderfeld

2.2. Formular-kodierter Body-Parameter

2.3. URI-Abfrageparameter