Access Token

• Access Token wird genutzt um sich auf den Resource Server zuzugreifen
• Mit dem Parameter Scope können Berechtigungen festgelegt werden
• Access Token hat eine zeitlich begrenzte Gültigkeit

Refresh Token

• Refresh Token um ein neuen Access Token erlangen
• Refresh Token hat eine zeitlich begrenzte Gültigkeit

Abstrakter OAuth-2.0-Protokollfluss

• Client fordert eine Autorisierung vom Resource Owner an
• Client erhält eine Autorisierungsgenehmigung vom Resource Owner
• Autorisierung kann über einen der vier Autorisierungsgenehmigungsprozesse
• Client fordert ein Access Token vom Authorization Server an.
• Er nutzt die Autorisierungsgenehmigung vom Resource Owner.
• Authorization Server authentisiert den Client (permission to ask)
• prüft die Autorisierungsgenehmigung des Resource Owners.
• Ist diese erfolgreich, stellt er ein Access Token aus.
• Client fragt die geschützten Daten beim Resource Server an.
• Zur Authentisierung benutzt er das Access Token.
• Der Resource Server prüft das Access Token und stellt, die gewünschten Daten zur Verfügung.

Links

• https://de.wikipedia.org/wiki/OAuth