oAuth2の認証コード付与タイプ

Question

oAuth2（Authorization code grant type）のResource Owner部分を実装しようとしています。 OAuth2仕様を通過する間に、私は承認のための最初のクライアント要求については、次のテキストを見つけました：

「クライアントは HTTPリダイレクト応答を使用して構築されたURIへのリソースの所有者に指示し、または経由でそれが利用可能な他の手段によって、 ユーザーエージェント "

" HTTPリダイレクト応答 "の部分について少し混乱しています。誰でも、クライアントがリソースの所有者を認証エンドポイントに誘導するためのHTTPリダイレクト応答を使用するシナリオを説明することができます。

Answer 1

ユーザー（リソース所有者）がアプリケーション（クライアント）を通じてリソース（リソースサーバー）にアクセスするとします。ユーザは、Webブラウザを使用してHTTPリクエストを送信し、アプリケーションで操作を実行します。 HTTP要求に認証ヘッダーにアクセストークンが含まれていないため、リソースへのアクセスを許可できません。その場合、アプリケーションはエラー・メッセージで応答するのではなく、ユーザーを許可サーバーにリダイレクトします。 Authorization Serverにログイン資格情報を提供することにより、ユーザーはAuthorization Requestを開始できます。