5.1. 成功的响应(5.1. Successful Response)

5.1. 成功的响应

授权服务器颁发访问令牌和可选的刷新令牌，通过向HTTP响应实体正文中添加下列参数并使用200（OK）状态码构造响应：

access_token
必需的。授权服务器颁发的访问令牌。
token_type
必需的。如7.1节所述的颁发的令牌的类型。值是大小写不敏感的。
expires_in
推荐的。以秒为单位的访问令牌生命周期。例如，值“3600”表示访问令牌将在从生成响应时的1小时后到期。如果省略，则授权服务器应该通过其他方式提供过期时间，或者记录默认值。
refresh_token
可选的。刷新令牌，可以用于如第6节所述使用相同的授权许可获得新的访问令牌。
scope
可选的，若与客户端请求的范围相同；否则，必需的。如3.3节所述的访问令牌的范围。

这些参数使用RFC4627定义的“application/json”媒体类型包含在HTTP响应实体正文中。通过将每个参数添加到最高结构级别，参数被序列化为JavaScript对象表示法（JSON）的结构。参数名称和字符串值作为JSON字符串类型包含。数值的值作为JSON数字类型包含。参数顺序无关并可以变化。

在任何包含令牌、凭据或其他敏感信息的响应中，授权服务器必须在其中包含值为“no-store”的HTTP“Cache-Control”响应头部域RFC2616，和值为“no-cache”的“Pragma”响应头部域RFC2616。例如：

HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache
{
  "access_token":"2YotnFZFEjr1zCsicMWpAA",
  "token_type":"example",
  "expires_in":3600,
  "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
  "example_parameter":"example_value"
}

客户端必须忽略响应中不能识别的值的名称。令牌和从授权服务器接收到的值的大小未定义。客户端应该避免对值的大小做假设。授权服务器应记录其发放的任何值的大小。

5.1. Successful Response



   The authorization server issues an access token and optional refresh
   token, and constructs the response by adding the following parameters
   to the entity-body of the HTTP response with a 200 (OK) status code:

   access_token
         REQUIRED.  The access token issued by the authorization server.

   token_type
         REQUIRED.  The type of the token issued as described in
         Section 7.1.  Value is case insensitive.

   expires_in
         RECOMMENDED.  The lifetime in seconds of the access token.  For
         example, the value "3600" denotes that the access token will
         expire in one hour from the time the response was generated.
         If omitted, the authorization server SHOULD provide the
         expiration time via other means or document the default value.





Hardt                        Standards Track                   [Page 43]

 
RFC 6749                        OAuth 2.0                   October 2012


   refresh_token
         OPTIONAL.  The refresh token, which can be used to obtain new
         access tokens using the same authorization grant as described
         in Section 6.

   scope
         OPTIONAL, if identical to the scope requested by the client;
         otherwise, REQUIRED.  The scope of the access token as
         described by Section 3.3.

   The parameters are included in the entity-body of the HTTP response
   using the "application/json" media type as defined by [RFC4627].  The
   parameters are serialized into a JavaScript Object Notation (JSON)
   structure by adding each parameter at the highest structure level.
   Parameter names and string values are included as JSON strings.
   Numerical values are included as JSON numbers.  The order of
   parameters does not matter and can vary.

   The authorization server MUST include the HTTP "Cache-Control"
   response header field [RFC2616] with a value of "no-store" in any
   response containing tokens, credentials, or other sensitive
   information, as well as the "Pragma" response header field [RFC2616]
   with a value of "no-cache".

   For example:

     HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store
     Pragma: no-cache

     {
       "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600,
       "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
       "example_parameter":"example_value"
     }

   The client MUST ignore unrecognized value names in the response.  The
   sizes of tokens and other values received from the authorization
   server are left undefined.  The client should avoid making
   assumptions about value sizes.  The authorization server SHOULD
   document the size of any value it issues.

1.简介（1. Introduction）

1.1. 角色（1.1. Roles）

1.2. 协议流程（1.2. Protocol Flow）

1.3. 授权许可 （1.3. Authorization Grant）

1.3.1. 授权码 （1.3.1. Authorization Code）

1.3.2. 隐式许可（1.3.2. Implicit）

1.3.3. 资源所有者密码凭据 （1.3.3. Resource Owner Password Credentials）

1.3.4. 客户端凭据（1.3.4. Client Credentials）

1.4. 访问令牌 （1.4. Access Token）

1.5. 刷新令牌 （1.5. Refresh Token）

1.6. TLS版本（1.6. TLS Version）

1.7. HTTP重定向（1.7. HTTP Redirections）

1.8. 互操作性（1.8. Interoperability）

1.9. 符号约定

2.0 客户端注册（2. Client Registration）

2.1. 客户端类型 (2.1. Client Types)

2.2. 客户端标识(2.2. Client Identifier)

2.3. 客户端身份验证（2.3. Client Authentication）

2.3.1. 客户端密码 （2.3.1. Client Password）

2.3.2. 其他身份验证方法（2.3.2. Other Authentication Methods）

2.4. 未注册客户端（2.4. Unregistered Clients）

3.协议端点（3. Protocol Endpoints）

3.1. 授权端点

3.1.1. 响应类型（3.1.1. Response Type）

3.1.2. 重定向端点（3.1.2. Redirection Endpoint）

3.1.2.1. 端点请求的机密性(3.1.2.1. Endpoint Request Confidentiality)

3.1.2.2. 注册要求(3.1.2.2. Registration Requirements)

3.1.2.3. 动态配置(3.1.2.3. Dynamic Configuration)

3.1.2.4. 无效端点(3.1.2.4. Invalid Endpoint)

3.1.2.5. 端点内容(3.1.2.5. Endpoint Content)

3.2. 令牌端点(3.2. Token Endpoint)

3.2.1. 客户端身份验证(3.2.1. Client Authentication)

3.3. 访问令牌范围(3.3. Access Token Scope)

4.获得授权(4. Obtaining Authorization)

4.1. 授权码许可(4.1. Authorization Code Grant)

4.1.1. 授权请求(4.1.1. Authorization Request)

4.1.2. 授权响应(4.1.2. Authorization Response)

4.1.2.1. 错误响应(4.1.2.1. Error Response)

4.1.3. 访问令牌请求(4.1.3. Access Token Request)

4.1.4. 访问令牌响应(4.1.4. Access Token Response)

4.2. 隐式许可(4.2. Implicit Grant)

4.2.1. 授权请求(4.2.1. Authorization Request)

4.2.2. 访问令牌响应(4.2.2. Access Token Response)

4.2.2.1. 错误响应(4.2.2.1. Error Response)

4.3. 资源所有者密码凭据许可(4.3. Resource Owner Password Credentials Grant)

4.3.1. 授权请求和响应(4.3.1. Authorization Request and Response)

4.3.2. 访问令牌请求(4.3.2. Access Token Request)

4.3.3. 访问令牌响应(4.3.3. Access Token Response)

4.4. 客户端凭据许可(4.4. Client Credentials Grant)

4.4.1. 授权请求和响应(4.4.1. Authorization Request and Response)

4.4.2. 访问令牌请求(4.4.2. Access Token Request)

4.4.3. 访问令牌响应(4.4.3. Access Token Response)

4.5. 扩展许可(4.5. Extension Grants)

5.颁发访问令牌

5.1. 成功的响应(5.1. Successful Response)

5.2. 错误响应(5.2. Error Response)

6.刷新访问令牌

7.访问受保护资源(7. Accessing Protected Resources)

7.1. 访问令牌类型(7.1. Access Token Types)

7.2. 错误响应(7.2. Error Response)

8.可扩展性

8.1. 定义访问令牌类型(8.1. Defining Access Token Types)

8.2. 定义新的端点参数(8.2. Defining New Endpoint Parameters)

8.3. 定义新的授权许可类型(8.3. Defining New Authorization Grant Types)

8.4. 定义新的授权端点响应类型(8.4. Defining New Authorization Endpoint Response Types)

8.5. 定义其他错误代码(8.5. Defining Additional Error Codes)

9.本机应用程序(9. Native Applications)

10.安全考量(10. Security Considerations)

10.1. 客户端身份验证(10.1. Client Authentication)

10.2. 客户端仿冒(10.2. Client Impersonation)

10.3. 访问令牌(10.3. Access Tokens)

10.4. 刷新令牌(10.4. Refresh Tokens)

10.5. 授权码(10.5. Authorization Codes)

10.6. 授权码重定向URI伪造(10.6. Authorization Code Redirection URI Manipulation)

10.7. 资源所有者密码凭据(10.7. Resource Owner Password Credentials)

10.8. 请求机密性(10.8. Request Confidentiality)

10.9. 确保端点真实性(10.9. Ensuring Endpoint Authenticity)

10.10. 凭据猜测攻击(10.10. Credentials-Guessing Attacks)

10.11. 钓鱼攻击(10.11. Phishing Attacks)

10.12. 跨站请求伪造(10.12. Cross-Site Request Forgery)

1.3. 授权许可（1.3. Authorization Grant）

1.3.1. 授权码（1.3.1. Authorization Code）

1.3.3. 资源所有者密码凭据（1.3.3. Resource Owner Password Credentials）

1.4. 访问令牌（1.4. Access Token）

1.5. 刷新令牌（1.5. Refresh Token）

2.3.1. 客户端密码（2.3.1. Client Password）