嗨，

响应必须传递给访问令牌URL，然后它将返回访问令牌。 传递以下值以访问令牌URL。 我建议从邮递员那里测试而不是在APIM中测试。

1。 客户编号

2。 grant_type =授权码

3。 response_type =令牌

4.code =您的授权码是从第一次通话中收到的。

有人可以帮我吗

您能否分享一些有关 您正在尝试的实现？ 这是指三足式OAuth吗？ 我不确定我是否完全按照您在标准OAuth流中的位置

 + ---------- +
      | 资源|
      | 业主|
      |  |
      + ---------- +
           ^
           |
          （B）
      + ---- | ----- +客户端标识符+ --------------- +
      |  -+ ----（A）-和重定向URI ----> |  |
      | 用户-|  | 授权|
      | 代理-+ ----（B）-用户认证---> | 服务器|
      |  |  |  |
      |  -+ ----（C）-授权码--- <|  |
      +-| ---- | --- + + --------------- +
        |  |  ^ v
       （A）（C）|  |
        |  |  |  |
        ^ v |  |
      + --------- + |  |
      |  |> ---（D）-授权码---------'|
      | 客户| 和重定向URI |
      |  |  |
      |  | <---（E）-----访问令牌-------------------'
      + --------- +（带有可选的刷新令牌）
 

但是，如果您收到302，我想这是重定向步骤。 如果在第一步中正确发送了所有内容，即client_ID，response_type（代码），redirect_URI，Scope，则APIM将302重定向以及作为查询参数的身份验证代码附加到客户端。 然后，您将使用此授权码来请求访问令牌。

问候，
以利亚

嗨，

感谢您提供信息。

是的，我们正在尝试在API管理中实施三足式OAuth。

无论何时，只要我们从邮递员的期望中对此进行测试，它就会弹出一个窗口并要求提供凭据。

嗨A S，

这实际上是预期的结果。 要求提供凭据的弹出窗口是三足式OAuth更大一部分的一部分； 在大多数三足式OAuth方案中，您需要提供重定向URL，它将把客户端发送到某种类型的Web服务，该Web服务将生成证书请求以授予授权访问权限。 这不是API Management会做的事情，很可能您是直接通过2腿Oauth方案连接到API Management。

以Facebook 3腿OAuth的用例为例。 一个应用程序（例如移动应用程序）希望访问用户的FB个人资料以执行某项操作（存储徽章，发布提要的更新等），作为OAuth流程的一部分，用户单击链接以使用FB授权该应用程序， 它将用户直接重定向到FB Oauth端点（绕过应用程序，这是Oauth的安全部分），他们直接登录FB，并作为流授权的一部分授予特定功能（例如商店徽章，代表 ，等等），FB还必须存储授权权限，并能够在以后取消这些授权。 该流程实际上由多个步骤组成，涉及多个系统之间的Oauth令牌的生成和传递，这些系统包括用户，用户代理（app），端点应用程序，授权服务器（APIM），登录页面（webserver） ，用户存储（存储同意）和实际的资源服务器本身（正在被授权访问的资源）。

三足式OAuth往往比两足式Oauth复杂一个数量级，但是 最终，APIM本质上充当了授权服务器，并通过提供Oauth令牌来完成其工作，该令牌将传递到流程中指定的端点。

希望这会有所帮助。