Authorization Code Request
Используется confidential и public клиентами для обмена на access-токен (после того, как пользователь вернет клиенту через Redirect URL, приложение получит authorization code из URL и использует его для запроса access-токена). Запрос будет отправлен на эндпоинт работы с токенами.
Параметры запроса
| Parameter | Description & Tips |
|---|---|
grant_type (required) | должен быть |
code (required) | значение, которое получил клиент от сервера авторизации |
redirect_uri (possible required) | Если Redirect URI был включен в запрос начальной авторизации, служба также должна потребовать его в запросе токена. Redirect URI в запросе токена должен точно соответствовать Redirect URI, который использовался при генерации кода авторизации. В противном случае служба должна отклонить запрос. |
client_id (required, если клиент не аутентифицирует себя каким-либо другим образом) | Обычно клиент аутентифицирует себя по паре client id / client secret в заголовке Basic Auth. |
Сервер должен проверить
Проверить наличие всех обязательных параметров
Если представлен client secret, необходимо провести аутентификацию клиента
Проверить, что authorization code корректен и не истек
Проверить, что authorization code был выдан указанному клиенту
Проверить, что параметр Redirect URI соответствует параметру Redirect URI, указанному на этапе запроса authorization code
Если все в порядке, сервис должен создать Access токен и ответить клиенту
Security
Для противодействия Replay-атакам
Last updated