¿Cómo ocurre el control de los tipos de concesión para APIs/Apps?

Los grant types disponibles para una API se enumeran y se pueden seleccionar al crear un interceptor de OAuth o de Access Token Validation.

Los grant types definen cómo se puede obtener un token para la API. Por ejemplo, si solo configura el Authorization Code como grant type, no puede crear un token por Client Credentials.

Sin embargo, suponga que se creó un token por Authorization Code. Incluso si luego cambia el grant type de Authorization Code a Client Credentials, el token generado seguirá siendo válido.

En resumen, ten en cuenta que:

El control del grant type ocurre sólo en su creación, no en su uso.
Una vez creado, el token sigue siendo válido hasta que caduca o se revoca.
Citar el tipo de concesión no afecta la validez del token.

Otros ejemplos:

  • Ejemplo 1: Su app está vinculada a una sola API. Solo podrá generar tokens con los grant type permitidos para esa API.

  • Ejemplo 2: Su app está vinculada a dos APIs: A y B. La API A solo permite la creación de tokens por Authorization Code y la API B, solo por Client Credentials. Una app puede generar token por ambos métodos. Si genera con éxito un token por Authorization Code, puede ser utilizado tanto con la API A como con la API B.

  • Ejemplo 3: Su API tiene recursos A y B. /recursoA sólo permite la creación de tokens por Authorization Code y /recursoB, solo por Client Credentials. Podrá generar token por ambos métodos. Si genera con éxito un token por Authorization Code, el token puede ser utilizado por /recursoA o /recursoB.

Thanks for your feedback!
EDIT

Share your suggestions with us!
Click here and then [+ Submit idea]