Como é feito o controle de grant types para APIs/Apps?

Os grant types disponíveis para uma API estão listados e podem ser selecionados no momento da criação de um interceptor de OAuth ou de Access Token Validation.

Eles definem o modo de obtenção de um token para aquela API. Caso você defina apenas Authorization Code como grant type, não será possível criar um token por Client Credentials.

Se você criar um token por Authorization Code e alterar o grant type de Authorization Code para Client Credentials depois, o token gerado permanecerá válido.

O controle do grant type é feito somente na sua obtenção, não no seu uso.
Uma vez criado, o token permanece válido até expirar ou ser revogado.
A alteração do grant type não afeta a validade do token.

  1. Sua app está vinculada a apenas uma API. Você poderá gerar tokens apenas com os grant types permitidos para aquela API.

  2. Sua app está vinculada a duas APIs: A e B. API A permite apenas a criação de token por Authorization Code e API B, apenas por Client Credentials. A app poderá gerar token por ambos os métodos. Se você gerar, com sucesso, um token por Authorization Code, ele poderá ser usado tanto pela API A como pela API B.

  3. Sua API possui os recursos A e B. /recursoA permite apenas a criação de token por Authorization Code e /recursoB, apenas por Client Credentials. Você poderá gerar token por ambos os métodos. Se você gerar com sucesso um token por Authorization Code, ele poderá ser usado tanto pelo /recursoA como pelo /recursoB.
Thanks for your feedback!
EDIT

Share your suggestions with us!
Click here and then [+ Submit idea]