Last updated
Last updated
Используется confidential и public клиентами для обмена на access-токен (после того, как пользователь вернет клиенту через Redirect URL, приложение получит authorization code из URL и использует его для запроса access-токена). Запрос будет отправлен на эндпоинт работы с токенами.
Проверить наличие всех обязательных параметров
Если представлен client secret, необходимо провести аутентификацию клиента
Проверить, что authorization code корректен и не истек
Проверить, что authorization code был выдан указанному клиенту
Проверить, что параметр Redirect URI соответствует параметру Redirect URI, указанному на этапе запроса authorization code
Если все в порядке, сервис должен создать Access токен и ответить клиенту
Для противодействия Replay-атакам
grant_type (required)
должен быть authorization_code
code (required)
значение, которое получил клиент от сервера авторизации
redirect_uri (possible required)
Если Redirect URI был включен в запрос начальной авторизации, служба также должна потребовать его в запросе токена. Redirect URI в запросе токена должен точно соответствовать Redirect URI, который использовался при генерации кода авторизации. В противном случае служба должна отклонить запрос.
client_id (required, если клиент не аутентифицирует себя каким-либо другим образом)
Обычно клиент аутентифицирует себя по паре client id / client secret в заголовке Basic Auth.