7. Réponse de Jeton (Token Response)

En plus des paramètres de réponse de jeton tels que définis dans [RFC6749], l'AS DOIT également retourner les authorization_details tels qu'accordés par le propriétaire de la ressource et attribués au jeton d'accès respectif. Les détails d'autorisation attribués au jeton d'accès émis dans une réponse de jeton sont déterminés par le paramètre authorization_details de la demande de jeton correspondante. Si le client ne spécifie pas les paramètres de demande de jeton authorization_details, l'AS détermine les authorization_details résultants à sa discrétion.

L'AS PEUT omettre des valeurs dans les authorization_details au client.

7.1. Détails d'Autorisation Enrichis dans la Réponse de Jeton (Enriched Authorization Details in Token Response)

Les détails d'autorisation attachés au jeton d'accès PEUVENT différer de ce que le client demande. En plus de l'utilisateur autorisant moins que ce que le client a demandé, il existe certains cas d'usage où l'AS enrichit les données dans un objet de détails d'autorisation. Le fait que l'enrichissement soit autorisé et les spécificités de son fonctionnement font nécessairement partie de la définition du type de détails d'autorisation respectif.

Par exemple, un client peut demander l'accès aux informations de compte mais laisser la décision sur les comptes spécifiques auxquels il pourra accéder à l'utilisateur. Au cours du processus d'autorisation, l'utilisateur sélectionnerait le sous-ensemble de ses comptes qu'il souhaite permettre au client d'accéder. Comme une option de conception pour transmettre les comptes sélectionnés, l'AS pourrait ajouter cette information à l'objet de détails d'autorisation respectif.

Note: Le client doit être conscient à l'avance de la possibilité qu'un certain objet de détails d'autorisation puisse être enrichi. On suppose que cette propriété fait partie de la définition du type de détails d'autorisation respectif.