2. Richieste autenticate (Authenticated Requests)

Questa sezione definisce tre metodi per inviare token di accesso bearer nelle richieste di risorse ai server delle risorse. I client non devono utilizzare più di un metodo per trasmettere il token in ogni richiesta.

2.1. Campo di intestazione della richiesta Authorization

Quando si invia il token di accesso nel campo di intestazione della richiesta "Authorization" definito da HTTP/1.1 [RFC2617], il client utilizza lo schema di autenticazione "Bearer" per trasmettere il token di accesso.

Esempio:

GET /resource HTTP/1.1
Host: server.example.com
Authorization: Bearer mF_9.B5f-4.1JqM

2.2. Parametro del corpo codificato in form

Quando si invia il token di accesso nel corpo dell'entità della richiesta HTTP, il client aggiunge il token di accesso al corpo della richiesta utilizzando il parametro "access_token".

2.3. Parametro di query URI

Quando si invia il token di accesso nell'URI della richiesta HTTP, il client aggiunge il token di accesso al componente di query dell'URI della richiesta utilizzando il parametro "access_token".

A causa delle debolezze di sicurezza associate al metodo URI, non dovrebbe essere utilizzato a meno che non sia impossibile trasportare il token di accesso nel campo di intestazione della richiesta "Authorization".

2.1. Campo di intestazione della richiesta Authorization​

2.2. Parametro del corpo codificato in form​

2.3. Parametro di query URI​

2.1. Campo di intestazione della richiesta Authorization

2.2. Parametro del corpo codificato in form

2.3. Parametro di query URI