授權方式2-簡化模式(implicit grant type)
簡化模式(implicit grant type)不通過第三方應用程序的服務器,直接在瀏覽器中向認證服務器申請令牌,跳過了"授權碼"這個步驟,因此得名。所有步驟在瀏覽器中完成,令牌對訪問者是可見的,且客戶端不需要認證。
它的步驟如下:
(A)客戶端將用戶導向認證服務器。
(B)用戶決定是否給於客戶端授權。
(C)假設用戶給予授權,認證服務器將用戶導向客戶端指定的"重定向URI",並在URI的Hash部分包含了訪問令牌。
(D)瀏覽器向資源服務器發出請求,其中不包括上一步收到的Hash值。
(E)資源服務器返回一個網頁,其中包含的代碼可以獲取Hash值中的令牌。
(F)瀏覽器執行上一步獲得的腳本,提取出令牌。
(G)瀏覽器將令牌發給客戶端。
下面是上面這些步驟所需要的參數。
A步驟中,客戶端發出的HTTP請求,包含以下參數:
- response_type:表示授權類型,此處的值固定為"token",必選項。
- client_id:表示客戶端的ID,必選項。
- redirect_uri:表示重定向的URI,可選項。
- scope:表示權限范圍,可選項。
- state:表示客戶端的當前狀態,可以指定任意值,認證服務器會原封不動地返回這個值。
下面是一個例子。
GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1 Host: server.example.com
C步驟中,認證服務器回應客戶端的URI,包含以下參數:
- access_token:表示訪問令牌,必選項。
- token_type:表示令牌類型,該值大小寫不敏感,必選項。
- expires_in:表示過期時間,單位為秒。如果省略該參數,必須其他方式設置過期時間。
- scope:表示權限范圍,如果與客戶端申請的范圍一致,此項可省略。
- state:如果客戶端的請求中包含這個參數,認證服務器的回應也必須一模一樣包含這個參數。
下面是一個例子。
HTTP/1.1 302 Found Location: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA &state=xyz&token_type=example&expires_in=3600
在上面的例子中,認證服務器用HTTP頭信息的Location欄,指定瀏覽器重定向的網址。注意,在這個網址的Hash部分包含了令牌。
根據上面的D步驟,下一步瀏覽器會訪問Location指定的網址,但是Hash部分不會發送。接下來的E步驟,服務提供商的資源服務器發送過來的代碼,會提取出Hash中的令牌。