3.3. 访问令牌范围(3.3. Access Token Scope)

3.3. 访问令牌范围

授权端点和令牌端点允许客户端使用“scope”请求参数指定访问请求的范围。反过来，授权服务器使用“scope”响应参数通知客户端颁发的访问令牌的范围。

范围参数的值表示为以空格分隔，大小写敏感的字符串。由授权服务器定义该字符串。如果该值包含多个空格分隔的字符串，他们的顺序并不重要且每个字符串为请求的范围添加一个额外的访问区域。

scope = scope-token *( SP scope-token )
scope-token = 1*( %x21 / %x23-5B / %x5D-7E )

基于授权服务器的策略或资源拥有者的指示，授权服务器可以全部或部分地忽略客户端请求的范围。如果颁发的访问令牌范围和客户端请求的范围不同，授权服务器必须包含“scope”响应参数通知客户端实际许可的范围。

在请求授权时如果客户端忽略了范围参数，授权服务器必须要么使用预定义的默认值处理请求，要么使请求失败以指出无效范围。授权服务器应该记录它的范围需求和默认值（如果已定义）。

3.3. Access Token Scope



   The authorization and token endpoints allow the client to specify the
   scope of the access request using the "scope" request parameter.  In
   turn, the authorization server uses the "scope" response parameter to
   inform the client of the scope of the access token issued.

   The value of the scope parameter is expressed as a list of space-
   delimited, case-sensitive strings.  The strings are defined by the
   authorization server.  If the value contains multiple space-delimited
   strings, their order does not matter, and each string adds an
   additional access range to the requested scope.

     scope       = scope-token *( SP scope-token )
     scope-token = 1*( %x21 / %x23-5B / %x5D-7E )

   The authorization server MAY fully or partially ignore the scope
   requested by the client, based on the authorization server policy or
   the resource owner's instructions.  If the issued access token scope
   is different from the one requested by the client, the authorization
   server MUST include the "scope" response parameter to inform the
   client of the actual scope granted.

   If the client omits the scope parameter when requesting
   authorization, the authorization server MUST either process the
   request using a pre-defined default value or fail the request
   indicating an invalid scope.  The authorization server SHOULD
   document its scope requirements and default value (if defined).

1.简介（1. Introduction）

1.1. 角色（1.1. Roles）

1.2. 协议流程（1.2. Protocol Flow）

1.3. 授权许可 （1.3. Authorization Grant）

1.3.1. 授权码 （1.3.1. Authorization Code）

1.3.2. 隐式许可（1.3.2. Implicit）

1.3.3. 资源所有者密码凭据 （1.3.3. Resource Owner Password Credentials）

1.3.4. 客户端凭据（1.3.4. Client Credentials）

1.4. 访问令牌 （1.4. Access Token）

1.5. 刷新令牌 （1.5. Refresh Token）

1.6. TLS版本（1.6. TLS Version）

1.7. HTTP重定向（1.7. HTTP Redirections）

1.8. 互操作性（1.8. Interoperability）

1.9. 符号约定

2.0 客户端注册（2. Client Registration）

2.1. 客户端类型 (2.1. Client Types)

2.2. 客户端标识(2.2. Client Identifier)

2.3. 客户端身份验证（2.3. Client Authentication）

2.3.1. 客户端密码 （2.3.1. Client Password）

2.3.2. 其他身份验证方法（2.3.2. Other Authentication Methods）

2.4. 未注册客户端（2.4. Unregistered Clients）

3.协议端点（3. Protocol Endpoints）

3.1. 授权端点

3.1.1. 响应类型（3.1.1. Response Type）

3.1.2. 重定向端点（3.1.2. Redirection Endpoint）

3.1.2.1. 端点请求的机密性(3.1.2.1. Endpoint Request Confidentiality)

3.1.2.2. 注册要求(3.1.2.2. Registration Requirements)

3.1.2.3. 动态配置(3.1.2.3. Dynamic Configuration)

3.1.2.4. 无效端点(3.1.2.4. Invalid Endpoint)

3.1.2.5. 端点内容(3.1.2.5. Endpoint Content)

3.2. 令牌端点(3.2. Token Endpoint)

3.2.1. 客户端身份验证(3.2.1. Client Authentication)

3.3. 访问令牌范围(3.3. Access Token Scope)

4.获得授权(4. Obtaining Authorization)

4.1. 授权码许可(4.1. Authorization Code Grant)

4.1.1. 授权请求(4.1.1. Authorization Request)

4.1.2. 授权响应(4.1.2. Authorization Response)

4.1.2.1. 错误响应(4.1.2.1. Error Response)

4.1.3. 访问令牌请求(4.1.3. Access Token Request)

4.1.4. 访问令牌响应(4.1.4. Access Token Response)

4.2. 隐式许可(4.2. Implicit Grant)

4.2.1. 授权请求(4.2.1. Authorization Request)

4.2.2. 访问令牌响应(4.2.2. Access Token Response)

4.2.2.1. 错误响应(4.2.2.1. Error Response)

4.3. 资源所有者密码凭据许可(4.3. Resource Owner Password Credentials Grant)

4.3.1. 授权请求和响应(4.3.1. Authorization Request and Response)

4.3.2. 访问令牌请求(4.3.2. Access Token Request)

4.3.3. 访问令牌响应(4.3.3. Access Token Response)

4.4. 客户端凭据许可(4.4. Client Credentials Grant)

4.4.1. 授权请求和响应(4.4.1. Authorization Request and Response)

4.4.2. 访问令牌请求(4.4.2. Access Token Request)

4.4.3. 访问令牌响应(4.4.3. Access Token Response)

4.5. 扩展许可(4.5. Extension Grants)

5.颁发访问令牌

5.1. 成功的响应(5.1. Successful Response)

5.2. 错误响应(5.2. Error Response)

6.刷新访问令牌

7.访问受保护资源(7. Accessing Protected Resources)

7.1. 访问令牌类型(7.1. Access Token Types)

7.2. 错误响应(7.2. Error Response)

8.可扩展性

8.1. 定义访问令牌类型(8.1. Defining Access Token Types)

8.2. 定义新的端点参数(8.2. Defining New Endpoint Parameters)

8.3. 定义新的授权许可类型(8.3. Defining New Authorization Grant Types)

8.4. 定义新的授权端点响应类型(8.4. Defining New Authorization Endpoint Response Types)

8.5. 定义其他错误代码(8.5. Defining Additional Error Codes)

9.本机应用程序(9. Native Applications)

10.安全考量(10. Security Considerations)

10.1. 客户端身份验证(10.1. Client Authentication)

10.2. 客户端仿冒(10.2. Client Impersonation)

10.3. 访问令牌(10.3. Access Tokens)

10.4. 刷新令牌(10.4. Refresh Tokens)

10.5. 授权码(10.5. Authorization Codes)

10.6. 授权码重定向URI伪造(10.6. Authorization Code Redirection URI Manipulation)

10.7. 资源所有者密码凭据(10.7. Resource Owner Password Credentials)

10.8. 请求机密性(10.8. Request Confidentiality)

10.9. 确保端点真实性(10.9. Ensuring Endpoint Authenticity)

10.10. 凭据猜测攻击(10.10. Credentials-Guessing Attacks)

10.11. 钓鱼攻击(10.11. Phishing Attacks)

10.12. 跨站请求伪造(10.12. Cross-Site Request Forgery)

1.3. 授权许可（1.3. Authorization Grant）

1.3.1. 授权码（1.3.1. Authorization Code）

1.3.3. 资源所有者密码凭据（1.3.3. Resource Owner Password Credentials）

1.4. 访问令牌（1.4. Access Token）

1.5. 刷新令牌（1.5. Refresh Token）

2.3.1. 客户端密码（2.3.1. Client Password）