10.5. 授权码(10.5. Authorization Codes)

10.5. 授权码

授权码的传输应该建立在安全通道上，客户端应该要求在它的重定向URI上使用TLS，若该URI指示了一个网络资源。由于授权码由用户代理重定向传输，它们可能潜在地通过用户代理历史记录和HTTP参照标头被泄露。

授权码明以纯文本承载凭据使用，用于验证在授权服务器许可权限的资源所有者就是返回到客户端完成此过程的相同的资源所有者。因此，如果客户端依赖于授权码作为它自己的资源所有者身份验证，客户端重定向端点必须要求使用TLS。

授权码必须是短暂的且是单用户的。如果授权服务器观察到多次以授权码交换访问令牌的尝试，授权服务器应该试图吊销所有基于泄露的授权码而颁发的访问令牌。

如果客户端可以进行身份验证，授权服务器必须验证客户端身份，并确保授权码颁发给了同一个客户端。

10.5. Authorization Codes



   The transmission of authorization codes SHOULD be made over a secure
   channel, and the client SHOULD require the use of TLS with its
   redirection URI if the URI identifies a network resource.  Since
   authorization codes are transmitted via user-agent redirections, they
   could potentially be disclosed through user-agent history and HTTP
   referrer headers.

   Authorization codes operate as plaintext bearer credentials, used to
   verify that the resource owner who granted authorization at the
   authorization server is the same resource owner returning to the
   client to complete the process.  Therefore, if the client relies on
   the authorization code for its own resource owner authentication, the
   client redirection endpoint MUST require the use of TLS.

   Authorization codes MUST be short lived and single-use.  If the
   authorization server observes multiple attempts to exchange an
   authorization code for an access token, the authorization server
   SHOULD attempt to revoke all access tokens already granted based on
   the compromised authorization code.

   If the client can be authenticated, the authorization servers MUST
   authenticate the client and ensure that the authorization code was
   issued to the same client.

1.简介（1. Introduction）

1.1. 角色（1.1. Roles）

1.2. 协议流程（1.2. Protocol Flow）

1.3. 授权许可 （1.3. Authorization Grant）

1.3.1. 授权码 （1.3.1. Authorization Code）

1.3.2. 隐式许可（1.3.2. Implicit）

1.3.3. 资源所有者密码凭据 （1.3.3. Resource Owner Password Credentials）

1.3.4. 客户端凭据（1.3.4. Client Credentials）

1.4. 访问令牌 （1.4. Access Token）

1.5. 刷新令牌 （1.5. Refresh Token）

1.6. TLS版本（1.6. TLS Version）

1.7. HTTP重定向（1.7. HTTP Redirections）

1.8. 互操作性（1.8. Interoperability）

1.9. 符号约定

2.0 客户端注册（2. Client Registration）

2.1. 客户端类型 (2.1. Client Types)

2.2. 客户端标识(2.2. Client Identifier)

2.3. 客户端身份验证（2.3. Client Authentication）

2.3.1. 客户端密码 （2.3.1. Client Password）

2.3.2. 其他身份验证方法（2.3.2. Other Authentication Methods）

2.4. 未注册客户端（2.4. Unregistered Clients）

3.协议端点（3. Protocol Endpoints）

3.1. 授权端点

3.1.1. 响应类型（3.1.1. Response Type）

3.1.2. 重定向端点（3.1.2. Redirection Endpoint）

3.1.2.1. 端点请求的机密性(3.1.2.1. Endpoint Request Confidentiality)

3.1.2.2. 注册要求(3.1.2.2. Registration Requirements)

3.1.2.3. 动态配置(3.1.2.3. Dynamic Configuration)

3.1.2.4. 无效端点(3.1.2.4. Invalid Endpoint)

3.1.2.5. 端点内容(3.1.2.5. Endpoint Content)

3.2. 令牌端点(3.2. Token Endpoint)

3.2.1. 客户端身份验证(3.2.1. Client Authentication)

3.3. 访问令牌范围(3.3. Access Token Scope)

4.获得授权(4. Obtaining Authorization)

4.1. 授权码许可(4.1. Authorization Code Grant)

4.1.1. 授权请求(4.1.1. Authorization Request)

4.1.2. 授权响应(4.1.2. Authorization Response)

4.1.2.1. 错误响应(4.1.2.1. Error Response)

4.1.3. 访问令牌请求(4.1.3. Access Token Request)

4.1.4. 访问令牌响应(4.1.4. Access Token Response)

4.2. 隐式许可(4.2. Implicit Grant)

4.2.1. 授权请求(4.2.1. Authorization Request)

4.2.2. 访问令牌响应(4.2.2. Access Token Response)

4.2.2.1. 错误响应(4.2.2.1. Error Response)

4.3. 资源所有者密码凭据许可(4.3. Resource Owner Password Credentials Grant)

4.3.1. 授权请求和响应(4.3.1. Authorization Request and Response)

4.3.2. 访问令牌请求(4.3.2. Access Token Request)

4.3.3. 访问令牌响应(4.3.3. Access Token Response)

4.4. 客户端凭据许可(4.4. Client Credentials Grant)

4.4.1. 授权请求和响应(4.4.1. Authorization Request and Response)

4.4.2. 访问令牌请求(4.4.2. Access Token Request)

4.4.3. 访问令牌响应(4.4.3. Access Token Response)

4.5. 扩展许可(4.5. Extension Grants)

5.颁发访问令牌

5.1. 成功的响应(5.1. Successful Response)

5.2. 错误响应(5.2. Error Response)

6.刷新访问令牌

7.访问受保护资源(7. Accessing Protected Resources)

7.1. 访问令牌类型(7.1. Access Token Types)

7.2. 错误响应(7.2. Error Response)

8.可扩展性

8.1. 定义访问令牌类型(8.1. Defining Access Token Types)

8.2. 定义新的端点参数(8.2. Defining New Endpoint Parameters)

8.3. 定义新的授权许可类型(8.3. Defining New Authorization Grant Types)

8.4. 定义新的授权端点响应类型(8.4. Defining New Authorization Endpoint Response Types)

8.5. 定义其他错误代码(8.5. Defining Additional Error Codes)

9.本机应用程序(9. Native Applications)

10.安全考量(10. Security Considerations)

10.1. 客户端身份验证(10.1. Client Authentication)

10.2. 客户端仿冒(10.2. Client Impersonation)

10.3. 访问令牌(10.3. Access Tokens)

10.4. 刷新令牌(10.4. Refresh Tokens)

10.5. 授权码(10.5. Authorization Codes)

10.6. 授权码重定向URI伪造(10.6. Authorization Code Redirection URI Manipulation)

10.7. 资源所有者密码凭据(10.7. Resource Owner Password Credentials)

10.8. 请求机密性(10.8. Request Confidentiality)

10.9. 确保端点真实性(10.9. Ensuring Endpoint Authenticity)

10.10. 凭据猜测攻击(10.10. Credentials-Guessing Attacks)

10.11. 钓鱼攻击(10.11. Phishing Attacks)

10.12. 跨站请求伪造(10.12. Cross-Site Request Forgery)

1.3. 授权许可（1.3. Authorization Grant）

1.3.1. 授权码（1.3.1. Authorization Code）

1.3.3. 资源所有者密码凭据（1.3.3. Resource Owner Password Credentials）

1.4. 访问令牌（1.4. Access Token）

1.5. 刷新令牌（1.5. Refresh Token）

2.3.1. 客户端密码（2.3.1. Client Password）