刷新令牌是用来获取访问令牌的凭据。在当前的访问令牌变成无效或过期，或获得额外的访问令牌具有相同或更窄的范围（访问令牌可能有较短期少于资源授权的权限所有者）时，刷新令牌被授权服务器发送给客户端用于获取一个新的访问令牌。分发刷新标记是可选的。如果authorization server分发可刷新令牌，那么当分发access token

访问令牌是用于访问受保护的资源的凭据。 一个访问令牌是一个字符串，代表发送给客户端的授权。字符串通常是对客户端不透明的。令牌代表访问的具体范围和持续时间，由资源所有者授予，被资源的服务器和授权执行服务器强行执行。

令牌可以表示用于检索授权信息的标识符，或用一种可核查的方式自我包含在授权信息中（即一个

权限授予是一个凭证，代表着资源所有者的授权（访问它的受保护资源），它被客户端用来获得一个访问令牌。此规范定义了四种授予类型：授权码，隐式，资源所有者密码凭据，客户端凭据，以及一个扩展定义其他类型的机制。

授权码

授权码是通过使用授权服务器作为客户端和资源所有者之间的中介被获取的。客户端请求授权指

如图1所示的抽象流描述的四种角色之间的互动还包括了一下步骤:

(A)client（就是application）向resource owner请求授权。可以直接向resource owner请求，但更好的是通过authorization server作为中间物间接获得。（比如新浪微博的是否允许授权的页面）。

(B)client获得了resource owner的授权认可（authorization

OAuth的定义四个角色：

resource owner资源的所有者：可以获得授权去访问受保护的资源的实体。这句很绕口，简单来说就是资源的所有者，这个所有者是指当初上传或生成的那个所有者，并不是指服务器的所有者。

resource server资源服务器： 承载受保护资源的服务器，可以接收和响应使用access token（访问令牌）请求受保

在传统的客户端 - 服务器的身份验证模型中，客户端使用资源所有者服务器上凭据（credentials） 进行身份验证来申请访问受限资源（受保护的资源）。 为了提供第三方应用程序访问受限制的资源，资源的所有者分享其凭据给第三方。 这将产生几个问题和限制：

1. 第三方的应用程序需要存储资源业主的凭据，以备将来使用，通常

OAuth的2.0授权协议允许第三方应用程序获取机会有限的HTTP服务，或者是以资源所有者的名义通过协调的批准资源所有者和HTTP服务互动，或通过允许第三方应用程序，以自己的名义获得的访问。