09 - OAuth (3) Implicit grant

Step 2

由 Client 將使用者導向 Authorization server，其 url params 如下

GET /authorize?response_type=token
&client_id=xxx
&state=xxx
&scope=xxx
&redirect_uri=xxx
&resource=xxx

• response_type: 這裡的值為 "token"，代表我們採用 OAuth Implicit grant
• client_id: 在 Authorization server 所登記的 Client 的 ID
• state: 當中包含了 Client 當前的狀態資訊，之後會用來比對 Authorization server response 當中的 state 以確保前後一致
• scope: 代表這個請求所想要取得授權的內容，譬如 get:data
• redirect_uri: 在 step 5 Authorization server 將使用者導回到 Client 時的 url

Step 5

在使用者輸入帳號密碼，驗證身份完畢之後 (step 3 & 4)，Authorization server 會將使用者導回到 Client，並將 access token 放在 url 當中

https://client_redirect_uri/callback?access_token=xxx

在 implicit grant 的 request 當中可能還會看到 response_mode，其值 form_post，這個我們在介紹 OIDC Implicit Flow 的 request & response 會再進一步介紹