4.1. 授权码许可

授权码许可类型用于获得访问令牌和刷新令牌并且为受信任的客户端进行了优化。由于这是一个基于重定向的流程,客户端必须能够与资源所有者的用户代理(通常是Web浏览器)进行交互并能够接收来自授权服务器的传入请求(通过重定向)。

  1.  +----------+
  2.  | Resource |
  3.  |   Owner  |
  4.  |          |
  5.  +----------+
  6.       ^
  7.       |
  8.      (B)
  9.  +----|-----+          Client Identifier      +---------------+
  10.  |         -+----(A)-- & Redirection URI ---->|               |
  11.  |  User-   |                                 | Authorization |
  12.  |  Agent  -+----(B)-- User authenticates --->|     Server    |
  13.  |          |                                 |               |
  14.  |         -+----(C)-- Authorization Code ---<|               |
  15.  +-|----|---+                                 +---------------+
  16.    |    |                                         ^      v
  17.   (A)  (C)                                        |      |
  18.    |    |                                         |      |
  19.    ^    v                                         |      |
  20.  +---------+                                      |      |
  21.  |         |>---(D)-- Authorization Code ---------'      |
  22.  |  Client |          & Redirection URI                  |
  23.  |         |                                             |
  24.  |         |<---(E)----- Access Token -------------------'
  25.  +---------+       (w/ Optional Refresh Token)

注:说明步骤(A)、(B)和(C)的直线因为通过用户代理而被分为两部分。
图3:授权码流程

在图3中所示的流程包括以下步骤:

  • (A)客户端通过向授权端点引导资源所有者的用户代理开始流程。客户端包括它的客户端标识、请求范围、本地状态和重定向URI,一旦访问被许可(或拒绝)授权服务器将传送用户代理回到该URI。
  • (B)授权服务器验证资源拥有者的身份(通过用户代理),并确定资源所有者是否授予或拒绝客户端的访问请求。
  • (C)假设资源所有者许可访问,授权服务器使用之前(在请求时或客户端注册时)提供的重定向URI重定向用户代理回到客户端。重定向URI包括授权码和之前客户端提供的任何本地状态。
  • (D)客户端通过包含上一步中收到的授权码从授权服务器的令牌端点请求访问令牌。当发起请求时,客户端与授权服务器进行身份验证。客户端包含用于获得授权码的重定向URI来用于验证。

  • (E)授权服务器对客户端进行身份验证,验证授权代码,并确保接收的重定向URI与在步骤(C)中用于重定向(资源所有者的用户代理)到客户端的URI相匹配。如果通过,授权服务器响应返回访问令牌与可选的刷新令牌。

  • 4.1.1. 授权请求

  • 4.1.2. 授权响应
  • 4.1.3. 访问令牌请求
  • 4.1.4. 访问令牌响应