Passa al contenuto principale

1. Introduzione (Introduction)

OAuth consente ai client di accedere alle risorse protette ottenendo un token di accesso (Access Token), che è definito in "The OAuth 2.0 Authorization Framework" [RFC6749] come "una stringa che rappresenta un'autorizzazione di accesso rilasciata al client", piuttosto che utilizzare direttamente le credenziali del proprietario della risorsa.

I token vengono rilasciati ai client da un server di autorizzazione con l'approvazione del proprietario della risorsa. Il client utilizza il token di accesso per accedere alle risorse protette ospitate dal server delle risorse. Questa specifica descrive come effettuare richieste di risorse protette quando il token di accesso OAuth è un token bearer.

1.1. Convenzioni notazionali (Notational Conventions)

Le parole chiave "deve (MUST)", "non deve (MUST NOT)", "richiesto (REQUIRED)", "deve (SHALL)", "non deve (SHALL NOT)", "dovrebbe (SHOULD)", "non dovrebbe (SHOULD NOT)", "raccomandato (RECOMMENDED)", "può (MAY)" e "opzionale (OPTIONAL)" in questo documento devono essere interpretate come descritto in [RFC2119].

1.2. Terminologia (Terminology)

Token bearer (Bearer Token) : Un token di sicurezza con la proprietà che qualsiasi parte in possesso del token (un "bearer") può utilizzare il token nello stesso modo di qualsiasi altra parte in possesso di esso. L'utilizzo di un token bearer non richiede che un bearer dimostri il possesso di materiale chiave crittografico.

Tutti gli altri termini sono come definiti in "The OAuth 2.0 Authorization Framework" [RFC6749].

1.3. Panoramica (Overview)

OAuth fornisce un metodo per i client per accedere a una risorsa protetta per conto di un proprietario di risorse. Nel caso generale, prima che un client possa accedere a una risorsa protetta, deve prima ottenere una concessione di autorizzazione dal proprietario della risorsa e quindi scambiare la concessione di autorizzazione con un token di accesso.

Il token di accesso fornisce un'astrazione, sostituendo diverse costruzioni di autorizzazione (ad esempio, nome utente e password, asserzione) con un singolo token compreso dal server delle risorse.

Ultimo aggiornamento il