# Access Token Endpunkt

Nach erfolgreicher Authentifizierung wird der Authorization Code Parameter - code - an die Callback-URL angehängt. Dieser Authorization Code kann gegen einen Access Token eingelöst werden.

POST https://auth.doccheck.com/token

# Request (application/x-www-form-urlencoded)

client_id={Client-ID}
client_secret={Client-Secret}
grant_type=authorization_code
code={Authorization Code}
redirect_uri={Ihre registrierte Redirect-URI}

Wichtig: Der Parameter redirect_uri ist verpflichtend und muss exakt der Redirect-URI entsprechen, die in der Autorisierungsanfrage verwendet wurde und in den Client-Einstellungen registriert ist. Abweichungen führen zu einer Fehlermeldung beim Token-Tausch.

# Response

{
  "scope": "...",
  "token_type": "Bearer",
  "expires_in": 3600,
  "access_token": "{Access-Token}",
  "refresh_token": "{Refresh-Token}"
}

# Response auf invalide Anfrage

{
  "error_description": "xxxxx",
  "error": "xxxx"
}

# Testen des Endpunktes

curl --location 'https://auth.doccheck.com/token' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'client_id=[login_id]' \
--data-urlencode 'client_secret=[client_secret]' \
--data-urlencode 'code=[code]' \
--data-urlencode 'redirect_uri=[redirect_uri]' \
--data-urlencode 'grant_type=authorization_code'

Hinweis

Aus Sicherheitsgründen sollten Sie Access Tokens nicht mit Dritten teilen. Dies schliesst den User ein. Insbesondere sollten Sie den Access Token nicht in einem Cookie speichern.

← Authorization Endpunkt
/de/oauth/endpoints/authorization_endpoint.html Userdaten Endpunkt →
/de/oauth/endpoints/user-data_endpoint.html