7. 令牌响应 (Token Response)
除 [RFC6749] 中定义的令牌响应参数外, AS MUST 还返回资源所有者已授予并分配给相应访问令牌的 authorization_details. 分配给令牌响应中所签发访问令牌的授权详情由相应令牌请求的 authorization_details 参数决定. 如果客户端未指定 authorization_details 令牌请求参数, AS 将自行决定最终的 authorization_details.
AS MAY 在返回给客户端的 authorization_details 中省略某些值.
7.1. 令牌响应中增强的授权详情 (Enriched Authorization Details in Token Response)
附加到访问令牌的授权详情 MAY 不同于客户端请求的内容. 除了用户授权少于客户端所请求内容的情况外, 还存在一些 AS 会增强授权详情对象中数据的用例. 是否允许增强以及其具体工作方式必然属于相应授权详情类型定义的一部分.
举例而言, 客户端可以请求访问账户信息, 但将其能够访问哪些具体账户的决定留给用户. 在授权过程中, 用户会选择其账户中允许客户端访问的子集. 作为传达所选账户的一种设计选项, AS 可以将此信息添加到相应的授权详情对象中.
注: 客户端需要预先知道某个授权详情对象可能被增强. 假定此属性属于相应授权详情类型定义的一部分.