7. トークンレスポンス (Token Response)

[RFC6749]で定義されているトークンレスポンスパラメータに加えて、ASは、リソース所有者によって付与され、それぞれのアクセストークンに割り当てられたauthorization_detailsも返さなければなりません(MUST)。トークンレスポンスで発行されたアクセストークンに割り当てられた認可詳細は、対応するトークンリクエストのauthorization_detailsパラメータによって決定されます。クライアントがauthorization_detailsトークンリクエストパラメータを指定しない場合、ASは結果のauthorization_detailsをその裁量で決定します。

ASは、クライアントへのauthorization_detailsの値を省略する場合があります(MAY)。

7.1. トークンレスポンスにおける拡張認可詳細 (Enriched Authorization Details in Token Response)

アクセストークンに添付された認可詳細は、クライアントが要求したものと異なる場合があります(MAY)。ユーザーがクライアントが要求したものよりも少ないものを承認することに加えて、ASが認可詳細オブジェクト内のデータを拡張する一部のユースケースがあります。拡張が許可されるかどうか、およびその動作の詳細は、必然的にそれぞれの認可詳細タイプの定義の一部です。

一例として、クライアントはアカウント情報へのアクセスを求めるかもしれませんが、アクセスできる特定のアカウントに関する決定はユーザーに委ねます。認可プロセスの過程で、ユーザーは、クライアントにアクセスを許可したいアカウントのサブセットを選択します。選択されたアカウントを伝えるための1つの設計オプションとして、ASはこの情報をそれぞれの認可詳細オブジェクトに追加できます。

注意: クライアントは、特定の認可詳細オブジェクトが拡張される可能性があることを事前に認識している必要があります。このプロパティは、それぞれの認可詳細タイプの定義の一部であると想定されます。