Zum Hauptinhalt springen

6. Token-Anfrage (Token Request)

Der authorization_details Token-Anfrage-Parameter kann verwendet werden, um die Autorisierungsdetails anzugeben, die ein Client vom AS einem Zugriffstoken zuweisen lassen möchte. Der AS überprüft, ob das zugrunde liegende Grant (im Fall von Grant-Typen authorization_code, refresh_token usw.) oder die Client-Richtlinie (im Fall des Grant-Typs client_credentials) die Ausstellung eines Zugriffstokens mit den angeforderten Autorisierungsdetails erlaubt. Andernfalls lehnt der AS die Anfrage mit dem Fehlercode invalid_authorization_details (ähnlich wie invalid_scope) ab.

6.1. Vergleich von Autorisierungsdetails (Comparing Authorization Details)

Viele Aktionen im OAuth-Protokoll ermöglichen es dem AS und RS, Sicherheitsentscheidungen zu treffen, die darauf basieren, ob die Anfrage "mehr" oder "weniger" als eine vorherige, bestehende Anfrage verlangt. Beispielsweise kann der Client beim Aktualisieren eines Tokens ein neues Zugriffstoken mit "weniger Berechtigungen" anfordern, als zuvor vom Ressourcenbesitzer autorisiert wurde. Das angeforderte Zugriffstoken wird die reduzierten Berechtigungen übertragen, aber die vorherige Autorisierung des Ressourcenbesitzers wird durch solche Anfragen nicht geändert.

Da die Semantik der Felder in authorization_details implementierungsspezifisch für eine gegebene API oder ein Set von APIs sein wird, gibt es keinen standardisierten Mechanismus, um zwei beliebige Autorisierungsdetail-Anfragen zu vergleichen. Ein AS sollte sich in den meisten Fällen nicht auf einfachen Objektvergleich verlassen, da die Schnittmenge einiger Felder innerhalb einer Anfrage Nebenwirkungen auf die gewährten Zugriffsrechte haben könnte, abhängig davon, wie die API entworfen und bereitgestellt wurde. Dies ist ein ähnlicher Effekt wie bei den Scope-Werten, die mit einigen APIs verwendet werden.

Beim Vergleichen einer neuen Anfrage mit einer bestehenden Anfrage kann ein AS dieselben Verarbeitungstechniken verwenden wie beim erstmaligen Gewähren der Anfrage, um zu bestimmen, ob ein Ressourcenbesitzer die Anfrage autorisieren muss. Die Details dieses Vergleichs hängen von der Definition des Typs der Autorisierungsanfrage ab und liegen außerhalb des Umfangs dieser Spezifikation, aber gängige Muster können angewendet werden.

Letztes Update am