4.4. 客户端凭据许可

当客户端请求访问它所控制的，或者事先与授权服务器协商（所采用的方法超出了本规范的范围）的其他资源所有者的受保护资源，客户端可以只使用它的客户端凭据（或者其他受支持的身份验证方法）请求访问令牌。

客户端凭据许可类型必须只能由机密客户端使用。

 +---------+                                  +---------------+
 |         |                                  |               |
 |         |>--(A)- Client Authentication --->| Authorization |
 | Client  |                                  |     Server    |
 |         |<--(B)---- Access Token ---------<|               |
 |         |                                  |               |
 +---------+                                  +---------------+

图6：客户端凭证流程

图6中的所示流程包含以下步骤：

• （A）客户端与授权服务器进行身份验证并向令牌端点请求访问令牌。

• （B）授权服务器对客户端进行身份验证，如果有效，颁发访问令牌。

• 4.4.1. 授权请求和响应

• 4.4.2. 访问令牌请求
• 4.4.3. 访问令牌响应