OAuth2.0 - 访问令牌

访问令牌(Access Token)

访问令牌是用于访问受保护资源的凭据。一个访问令牌是代表颁发给授权的字符串的客户端。该字符串通常对客户端不透明。令牌代表特定的访问范围和持续时间，由资源所有者授予，并由资源服务器和授权服务器强制执行。

我们可能通过前面的四种模式来获取令牌。

如果访问令牌请求是有效的且被授权，颁发访问令牌以及可选的刷新令牌。

响应参数说明：

参数	参数说明	是否必填	备注
access_token	授权leix	必填
token_type	令牌类型	必填	该值大小写不敏感
expires_in	过期时间，单位为秒。	推荐的	以秒为单位的访问令牌生命周期，如果省略，则授权服务器应该通过其他方式提供过期时间，或者记录默认值。
refresh_token	刷新令牌	可选
scope	权限范围	可选	若与客户端请求的范围相同；否则，必需的。

成功响应示例：

HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache
{"access_token":"2YotnFZFEjr1zCsicMWpAA","token_type":"example","expires_in":3600,"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA","example_parameter":"example_value"
} 

客户端必须忽略响应中不能识别的值的名称。令牌和从授权服务器接收到的值的大小未定义。客户端应该避免对值的大小做假设。授权服务器应记录其发放的任何值的大小。

如果请求因客户端身份验证失败或无效。返回错误响应

授权服务器使用HTTP 400（错误请求）状态码响应，在响应中包含下列参数：

参数	参数说明	是否必填	备注
error	错误	必填
error_description	错误描述	可选	用于协助客户端开发人员理解所发生的错误。
error_uri	错误的url	可选的	用于提供客户端开发人员关于该错误的额外信息。

常见error:

错误	错误说明
invalid_request	请求缺少必需的参数、包含不支持的参数值（除了许可类型）、重复参数、包含多个凭据、采用超过一种客户端身份验证机制或其他不规范的格式。
invalid_client	客户端身份验证失败（例如，未知的客户端，不包含客户端身份验证，或不支持的身份验证方法）。授权服务器可以返回HTTP 401（未授权）状态码来指出支持的HTTP身份验证方案。如果客户端试图通过Authorization请求标头域进行身份验证，授权服务器必须响应HTTP 401（未授权）状态码，并包含与客户端使用的身份验证方案匹配的WWW-Authenticate响应标头字段。
invalid_grant	提供的授权许可（如授权码、资源所有者凭据）或刷新令牌无效、过期、吊销、与在授权请求使用的重定向URI不匹配或颁发给另一个客户端。
unauthorized_client	进行身份验证的客户端没有被授权使用这种授权许可类型。
unsupported_grant_type	授权许可类型不被授权服务器支持。
invalid_scope	请求的范围无效、未知的、格式不正确或超出资源所有者许可的范围。

错误响应示例：

HTTP/1.1 400 Bad Request
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache
{"error":"invalid_request"
}