5. Authorization Request
5. Authorization Request
Le client construit l'URI de demande d'autorisation en ajoutant les paramètres suivants à la composante requête de l'URI de l'endpoint d'autorisation au format application/x-www-form-urlencoded :
request : REQUIS sauf si request_uri est spécifié. Le Request Object (section 2.1) contenant les paramètres de la section 4 de [RFC6749]. Si ce paramètre est présent, request_uri NE DOIT PAS l'être.
request_uri : REQUIS sauf si request est spécifié. URI absolu [RFC3986], Request Object URI (section 2.2) référençant les paramètres de la section 4 de [RFC6749]. Si présent, request NE DOIT PAS l'être.
client_id : REQUIS. client_id OAuth 2.0 [RFC6749]. La valeur DOIT correspondre au client_id du Request Object dans request ou request_uri.
Le client dirige le propriétaire de la ressource vers l'URI construit par réponse de redirection HTTP ou autre moyen via l'agent utilisateur.
Exemple de requête HTTPS :
GET /authz?client_id=s6BhdRkqt3&request=eyJhbG..AlMGzw HTTP/1.1
Host: server.example.com
L'Authorization Request Object DOIT être : (a) signé JWS, ou (b) signé JWS puis chiffré JWE.
Le client PEUT dupliquer les paramètres du Request Object dans la requête pour compatibilité. Le serveur d'autorisation conforme à cette spécification DOIT utiliser uniquement les paramètres du Request Object.