Web applications OAuth2.0及其规范

我试图理解OAuth协议的工作方式。我在上阅读了它的规范，我被这里的不同概念弄糊涂了！ 1-客户ID是什么？它应该是客户端每次发送到授权服务器的唯一字符串吗？这是可选的吗？客户的秘密呢？ 2-访问令牌是每个用户的唯一字符串，还是类似于会话标识符，它是每个会话特定的随机字符串

我也有关于隐性赠款的问题！ 1-我们希望何时使用此类补助金？ 2-客户端将如何实现访问令牌？我已经读到，用户代理应该使用由web托管的客户端资源发送的脚本来解析片段！但我不明白这个过程！什么是web托管的客户端资源

作为我的最后一个问题！ -web应用程序是否可以使用OAuth协议但更改参数的名称？例如，我可以在这个协议的实现中使用OAuth_ID而不是Client_ID，还是必须遵循现有参数的确切名称

感谢高级版。

客户端ID（client_ID）是由授权服务器生成并分配给客户端应用程序的唯一ID。客户端ID的格式由每个授权服务器确定，这是一个实现问题。它可以是字符串或数字。每次都需要将客户端ID发送到端点（授权端点和令牌端点）。”client_id'是一个必须参数

在某些情况下，当客户端应用程序访问令牌端点时，需要客户端密码（client_secret）。阅读2.3。和3.2.1。仔细检查RFC 6749的性能

访问令牌是一个字符串或数字，表示有关以下方面的授权信息：谁（用户）向哪个客户端应用程序授予了哪些权限（作用域）。它可以是随机字符串/数字或加密字符串。在前一种情况下，授权服务器的实现在随机字符串/数字和授权信息之间有一个映射表。在后一种情况下，访问令牌是包含授权信息的加密字符串

隐式授权是获取访问令牌的一步流程。例如，JavaScript应用程序（web托管客户端）更喜欢隐式授权而不是授权代码授权。在隐式授权中，授权服务器返回“302 Found”和位置头，其值包含重定向URI和访问令牌。要提取访问令牌，请解析位置标头的值，或实现一个回调函数，该函数在更改位置时由您正在使用的web浏览器组件（例如WebView）调用

不能将“OAuth_ID”用作参数名。必须使用确切的名称“client_id”