7. Risposta di Token (Token Response)

Oltre ai parametri di risposta del token come definito in [RFC6749], l'AS DEVE anche restituire i authorization_details come concessi dal proprietario della risorsa e assegnati al rispettivo token di accesso. I dettagli di autorizzazione assegnati al token di accesso emesso in una risposta di token sono determinati dal parametro authorization_details della richiesta di token corrispondente. Se il client non specifica i parametri di richiesta del token authorization_details, l'AS determina gli authorization_details risultanti a sua discrezione.

L'AS PUÒ omettere valori nei authorization_details al client.

7.1. Dettagli di Autorizzazione Arricchiti nella Risposta del Token (Enriched Authorization Details in Token Response)

I dettagli di autorizzazione allegati al token di accesso POSSONO differire da ciò che il client richiede. Oltre all'utente che autorizza meno di quanto richiesto dal client, ci sono alcuni casi d'uso in cui l'AS arricchisce i dati in un oggetto di dettagli di autorizzazione. Se l'arricchimento sia consentito e le specifiche di come funziona sono necessariamente parte della definizione del rispettivo tipo di dettagli di autorizzazione.

Ad esempio, un client può chiedere l'accesso alle informazioni dell'account ma lasciare la decisione sugli account specifici a cui potrà accedere all'utente. Durante il corso del processo di autorizzazione, l'utente selezionerebbe il sottoinsieme dei propri account a cui desidera consentire l'accesso al client. Come una opzione di progettazione per trasmettere gli account selezionati, l'AS potrebbe aggiungere queste informazioni al rispettivo oggetto di dettagli di autorizzazione.

Nota: Il client deve essere consapevole in anticipo della possibilità che un certo oggetto di dettagli di autorizzazione possa essere arricchito. Si presume che questa proprietà faccia parte della definizione del rispettivo tipo di dettagli di autorizzazione.