Zugriffsberechtigungstypen
Der wichtigste Schritt für eine Anwendung im Ablauf OAuth ist, wie die Anwendung ein Zugriffstoken (und optional ein Aktualisierungstoken) empfängt. Ein Berechtigungstyp ist der Mechanismus, mit dem das Token abgerufen wird. OAuth definiert verschiedene Zugriffsberechtigungstypen, die unterschiedliche Autorisierungsmechanismen darstellen.
Anwendungen können je nach dem in der Clientanwendung angegebenen Berechtigungstyp ein Zugriffstoken anfordern, um auf geschützte Endpunkte auf unterschiedliche Weise zuzugreifen. Eine Berechtigung ist ein Berechtigungsnachweis, der die Autorisierung des Ressourceneigentümers für den Zugriff auf eine geschützte Ressource darstellt. Vertrauenswürdige Anwendungen (wie Backend-Services) können Zugriffstoken direkt im Namen von Benutzern anfordern. Dies ist ein zweibeiniger Autorisierungsablauf mit OAuth. OAuth-Webanwendungen müssen in der Regel zuerst die Identität des Benutzers validieren und optional die Zustimmung des Benutzers einholen. Dies ist ein dreiteiliger Autorisierungsablauf mit OAuth.
Beispiel: Wenn Sie den Berechtigungstyp "Ressourceneigentümer" verwenden, können die Kennwortzugangsdaten des Ressourceneigentümers (Benutzername und Kennwort) direkt als Autorisierungsberechtigung zum Abrufen eines Zugriffstokens verwendet werden. Bei Verwendung des Berechtigungstyps "Clientzugangsdaten" authentifiziert sich der Client beim OAuth-Service und fordert dann ein Zugriffstoken an. Bei Verwendung der Assertion-Berechtigung wird eine Benutzer-Assertion zusammen mit den Clientinformationen gesendet, wenn der Zugriff angefordert wird.
Obwohl Sie einer Anwendung mehrere Berechtigungstypen zuordnen können, sollten Sie nur auswählen, was Ihre Anwendung verwenden muss. Jeder von Ihnen hinzugefügte Berechtigungstyp bedeutet, dass die Anwendung mit Identitätsdomains über einen dieser Berechtigungstypen kommunizieren kann. Die Anwendung wählt jedoch zur Laufzeit den zu verwendenden Berechtigungstyp.