7. Token Endpoint (richiesta token)¶
Il Token Endpoint rilascia access token, ID Token e refresh token, vi sono due scenari distinti in cui il client chiama il Token Endpoint:
- al termine del flusso di autenticazione descritto nel paragrafo precedente, il Client chiama il Token Endpoint inviando l’Authorization code ricevuto dall’OP (code=usDwMnEzJPpG5oaV8x3j) per ottenere un ID Token e un access token (necessario per poi chiedere gli attributi/claim allo UserInfo Endpoint) ed eventualmente un refresh token (se è stata avviata una sessione lunga revocabile);
- in presenza di una sessione lunga revocabile, il Client chiama il Token Endpoint inviando il refresh token in suo possesso per ottenere un nuovo access token.
Riferimenti: