7. Token-Antwort (Token Response)

Zusätzlich zu den in [RFC6749] definierten Token-Antwort-Parametern MUSS der AS auch die authorization_details zurückgeben, die vom Ressourcenbesitzer gewährt und dem jeweiligen Zugriffstoken zugewiesen wurden. Die dem in einer Token-Antwort ausgestellten Zugriffstoken zugewiesenen Autorisierungsdetails werden durch den authorization_details-Parameter der entsprechenden Token-Anfrage bestimmt. Wenn der Client die authorization_details Token-Anfrage-Parameter nicht angibt, bestimmt der AS die resultierenden authorization_details nach eigenem Ermessen.

Der AS KANN Werte in den authorization_details gegenüber dem Client weglassen.

7.1. Erweiterte Autorisierungsdetails in der Token-Antwort (Enriched Authorization Details in Token Response)

Die dem Zugriffstoken beigefügten Autorisierungsdetails KÖNNEN von dem abweichen, was der Client anfordert. Zusätzlich dazu, dass der Benutzer weniger als das vom Client Angeforderte autorisiert, gibt es einige Anwendungsfälle, in denen der AS die Daten in einem Autorisierungsdetail-Objekt anreichert. Ob eine Anreicherung erlaubt ist und die Einzelheiten ihrer Funktionsweise sind notwendigerweise Teil der Definition des jeweiligen Autorisierungsdetail-Typs.

Als ein Beispiel kann ein Client Zugriff auf Kontoinformationen anfordern, aber die Entscheidung über die spezifischen Konten, auf die er zugreifen kann, dem Benutzer überlassen. Im Verlauf des Autorisierungsprozesses würde der Benutzer die Teilmenge seiner Konten auswählen, auf die der Client zugreifen darf. Als eine Designoption zur Übermittlung der ausgewählten Konten könnte der AS diese Informationen dem jeweiligen Autorisierungsdetail-Objekt hinzufügen.

Hinweis: Der Client muss im Voraus über die Möglichkeit informiert sein, dass ein bestimmtes Autorisierungsdetail-Objekt angereichert werden kann. Es wird angenommen, dass diese Eigenschaft Teil der Definition des jeweiligen Autorisierungsdetail-Typs ist.