# 客户端凭据许可

使用客户端凭据（Client Credentials）授权类型时，OAuth2授权服务器仅基于资源所有者提供的应用程序名称和密钥进行身份验证。

<figure><img src="https://3484936666-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fkc3qks6b4rvNPb2C0khl%2Fuploads%2FYCLijy29OMYG9OmeqdVj%2Ffile.excalidraw.svg?alt=media&#x26;token=7f18b589-4982-472b-84fc-e65788e67a0d" alt=""><figcaption></figcaption></figure>

**使用客户端凭据（Client Credentials）授权类型**获取access token 的流程如下：

1. 在OAuth2授权服务上注册客户端应用（第三方应用）。在注册时需要为客户端应用提供一个唯一名称，OAuth2授权服务则为该应用生成一个密钥。
2. 客户端应用将应用名称和密钥传递给OAuth2授权服务。
3. OAuth2授权服务对收到的信息进行验证，如果验证成功，则返回一个包含OAuth2访问令牌的响应。
4. 客户端应用在收到访问令牌后，会将其缓存起来，之后每次调用受保护资源的服务时，都会传递该访问令牌。
5. 受保护资源的服务在收到携带访问令牌的请求后，会调用OAuth2授权服务以验证访问令牌。
   * 如果令牌有效，受保护资源允许用户访问。
   * 如果令牌无效，OAuth2服务返回HTTP状态码403，表示令牌无效。