Tipos de permiso de acceso
El paso más importante para una aplicación en el flujo OAuth es cómo la aplicación recibe un token de acceso (y, opcionalmente, un token de refrescamiento). Un tipo de permiso es el mecanismo utilizado para recuperar el token. OAuth define varios tipos de otorgamiento de acceso diferentes que representan diferentes mecanismos de autorización.
Las aplicaciones pueden solicitar un token de acceso para acceder a los puntos finales protegidos de diferentes formas, según el tipo de permiso especificado en la aplicación cliente. Un permiso es una credencial que representa la autorización del propietario del recurso para acceder a un recurso protegido. Las aplicaciones de confianza (como los servicios de backend) pueden solicitar tokens de acceso directamente en nombre de los usuarios. Este es un flujo de autorización de dos partes OAuth. Las aplicaciones web OAuth normalmente necesitan primero validar la identidad del usuario y, opcionalmente, obtener el consentimiento del usuario. Este es un flujo de autorización de tres partes OAuth.
Por ejemplo, cuando se utiliza el tipo de permiso Propietario de recurso, las credenciales de contraseña del propietario del recurso (nombre de usuario y contraseña) se pueden utilizar directamente como un permiso de autorización para obtener un token de acceso. Al utilizar el tipo de permiso Credenciales de cliente, el cliente se autentica con el servicio OAuth y, a continuación, solicita un token de acceso. Al utilizar el permiso de afirmación, se envía una afirmación de usuario junto con la información del cliente al solicitar acceso.
Aunque puede asociar más de un tipo de permiso a una aplicación, le recomendamos que seleccione solo lo que necesita utilizar la aplicación. Cada tipo de permiso que agregue significa que la aplicación puede comunicarse con dominios de identidad mediante cualquiera de esos tipos de permiso. Sin embargo, la aplicación elige en tiempo de ejecución, que tipo de permiso utilizar.