Recently Updated Pages

10.4. 刷新令牌(10.4. Refresh Tokens)

10.4. 刷新令牌 授权服务器可以给Web应用客户端和本机应用程序客户端颁发刷新令牌。 刷新令牌在传输和储存时必须保持机密性,并只与授权服务器和刷新令牌被颁发的客户端共享。授权服务器必须维...

10.3. 访问令牌(10.3. Access Tokens)

10.3. 访问令牌 访问令牌凭据(以及任何机密的访问令牌属性)在传输和储存时必须保持机密性,并只与授权服务器、访问令牌生效的资源服务器和访问令牌被颁发的客户端共享。访问令牌凭据必须只能使用带...

10.2. 客户端仿冒(10.2. Client Impersonation)

10.2. 客户端仿冒 如果被仿冒的客户端不能,或无法保持其客户端凭据保密。恶意客户端可能冒充其他客户端,并获得对受保护资源的访问权限。 授权服务器任何可能的时候必须验证客户端身份。如果授权...

10.1. 客户端身份验证(10.1. Client Authentication)

10.1. 客户端身份验证 授权服务器为进行客户端身份验证的目的,为Web应用客户端创建客户端凭据。授权服务器被鼓励考虑比客户端密码更强的客户端身份验证手段。Web应用程序客户端必须确保客户端...

10.安全考量(10. Security Considerations)

10.安全考量 作为一个灵活的可扩展的框架,OAuth的安全性考量依赖于许多因素。 以下小节提为实现者提供了聚焦在2.1节所述的三种客户端配置上的安全指南:Web应用、基于用户代理的应用和本地...

9.本机应用程序(9. Native Applications)

本机应用程序是安装和执行在资源所有者使用的设备上的客户端(例如,桌面程序,本机移动应用)。本机应用程序需要关于安全、平台能力和整体最终用户体验的特别注意事项。 授权端点需要在客户端和资源所有者...

8.5. 定义其他错误代码(8.5. Defining Additional Error Codes)

8.5. 定义其他错误代码 在协议扩展(例如,访问令牌类型、扩展参数或扩展许可类型等)需要其他错误代码用于授权码许可错误响应(4.1.2.1节)、隐式许可错误响应(4.2.2.1节)、令牌错误...

8.4. 定义新的授权端点响应类型(8.4. Defining New Authorization Endpoint Response Types)

8.4. 定义新的授权端点响应类型 用于授权端点的新的响应类型按照11.3节中的过程在授权端点响应类型注册表中定义和注册。响应类型名称必须符合response-type ABNF。 re...

8.3. 定义新的授权许可类型(8.3. Defining New Authorization Grant Types)

8.3. 定义新的授权许可类型 新的授权许可类型可以通过赋予它们一个“grant_type”参数使用的唯一的绝对URI来定义。如果扩展许可类型需要其他令牌端点参数,它们必须如11.2节所述在O...

8.2. 定义新的端点参数(8.2. Defining New Endpoint Parameters)

8.2. 定义新的端点参数 用于授权端点或令牌端点的新的请求或响应参数按照11.2节中的过程在OAuth参数注册表中定义和注册。 参数名称必须符合param-name ABNF,并且参数值的...

8.1. 定义访问令牌类型(8.1. Defining Access Token Types)

8.1. 定义访问令牌类型 访问令牌类型可以用以下两种方法之一来定义:在访问令牌类型注册表中注册(按11.1节中的过程)的,或者通过使用一个唯一的绝对URI作为它的名字。 采用URI命名的类...

8.可扩展性

8. Extensibility

7.2. 错误响应(7.2. Error Response)

7.2. 错误响应 如果资源访问请求失败,资源服务器应该通知客户端该错误。虽然规定这些错误响应超出了本规范的范围,但是本文档在11.4节建立了一张公共注册表,用作OAuth令牌身份验证方案之间...

7.1. 访问令牌类型(7.1. Access Token Types)

7.1. 访问令牌类型 访问令牌的类型给客户端提供了成功使用该访问令牌(和类型指定的属性)发起受保护资源请求所需的信息 若客户端不理解令牌类型,则不能使用该访问令牌。 例如,RFC6750定...

7.访问受保护资源(7. Accessing Protected Resources)

通过向资源服务器出示访问令牌,客户端访问受保护资源。资源服务器必须验证访问令牌,并确保它没有过期且其范围涵盖了请求的资源。资源服务器用于验证访问令牌的方法(以及任何错误响应)超出了本规范的范围,...

6.刷新访问令牌

若授权服务器给客户端颁发了刷新令牌,客户端通过使用按附录B“application/x-www-form-urlencoded”格式在HTTP请求实体正文中发送下列UTF-8字符编码的参数向令...

5.2. 错误响应(5.2. Error Response)

5.2. 错误响应 授权服务器使用HTTP 400(错误请求)状态码响应,在响应中包含下列参数: error 必需的。下列ASCII[USASCII]错误代码之一: invalid...

5.1. 成功的响应(5.1. Successful Response)

5.1. 成功的响应 授权服务器颁发访问令牌和可选的刷新令牌,通过向HTTP响应实体正文中添加下列参数并使用200(OK)状态码构造响应: access_token必需的。授权服务器颁发的...

5.颁发访问令牌

如果访问令牌请求是有效的且被授权,授权服务器如5.1节所述颁发访问令牌以及可选的刷新令牌。如果请求因客户端身份验证失败或无效,授权服务器如5.2节所述的返回错误响应。 5. Issuing ...

4.5. 扩展许可(4.5. Extension Grants)

4.5. 扩展许可 通过使用绝对URI作为令牌端点的“grant_type”参数的值指定许可类型,并通过添加任何其他需要的参数,客户端使用扩展许可类型。 例如,采用[OAuth-SAML]定...