Tipos de Concessão de Acesso
A etapa mais importante de um aplicativo no fluxo OAuth é como o aplicativo recebe um token de acesso (e, opcionalmente, um token de atualização). Um tipo de concessão é o mecanismo usado para recuperar o token. OAuth define vários tipos diferentes de concessão de acesso que representam diferentes mecanismos de autorização.
Os aplicativos podem solicitar um token de acesso para acessar pontos finais protegidos de diferentes maneiras, dependendo do tipo de concessão especificado no aplicativo cliente. Uma concessão é uma credencial que representa a autorização do proprietário do recurso para acessar um recurso protegido. Aplicativos confiáveis (como serviços de backend) podem solicitar tokens de acesso diretamente em nome dos usuários. Este é um fluxo de autorização de duas etapas OAuth. Os aplicativos Web OAuth geralmente precisam primeiro validar a identidade do usuário e, opcionalmente, obter o consentimento do usuário. Este é um fluxo de autorização de três etapas OAuth.
Por exemplo, ao usar o tipo de concessão Proprietário do Recurso, as credenciais de senha do proprietário do recurso (nome de usuário e senha) podem ser usadas diretamente como uma concessão de autorização para obter um token de acesso. Ao usar o tipo de concessão Credenciais do Cliente, o cliente se autentica com o serviço OAuth e, em seguida, solicita um token de acesso. Ao usar a concessão de Asserção, uma asserção de usuário é enviada junto com as informações do cliente ao solicitar acesso.
Embora você possa associar mais de um tipo de concessão a um aplicativo, recomendamos que você selecione apenas o que seu aplicativo precisa usar. Cada tipo de concessão adicionado significa que o aplicativo pode se comunicar com domínios de identidades usando qualquer um desses tipos de concessão. Mas, o aplicativo escolhe no runtime, qual tipo de concessão usar.