客户端通过提交它的授权许可或刷新令牌使用令牌端点获取访问令牌。令牌端点被用于除了隐式许可类型(因为访问令牌是直接颁发的)外的每种授权许可中。
客户端通过何种方式获得令牌端点的位置超出了本文档范围,但该位置通常在服务文档中提供。
端点URI可以包含“application/x-www-form-urlencoded”格式(按附录B)的查询部分(RFC3986的3.4节),当添加额外的查询参数时必须保留该部分。端点URI不得包含片段部分。
由于向令牌端点的请求引起明文凭据的传输(在HTTP请求和响应中),当向令牌端点发送请求时,授权服务器必须要求如1.6节所述的TLS的使用。
当发起访问令牌请求时,客户端必须使用HTTP“POST”方法。
发送的没有值的参数必须被对待为好像它们在请求中省略了。授权服务器必须忽略不能识别的请求参数。请求和响应参数不能包含超过一次。
- 3.2.1. 客户端身份验证