Reference: Authentication (DOC-REF-AUTH-001)

KNOW 使用 OAuth 2.0 授權碼流程（含 PKCE）作為所有第三方 API 存取的身份驗證機制。

OAuth 端點 (DOC-REF-AUTH-002)

| 方法 | 路徑 | 用途 | |------|------|------| | GET | /.well-known/openid-configuration | Discovery — 回傳所有端點、支援的 scope 與 grant type | | GET | /oauth/authorize | 同意畫面 — 驗證請求參數並回傳 JSON 格式的同意元資料（不進行瀏覽器重新導向） | | POST | /oauth/authorize/confirm | 使用者確認 — 發出授權碼並以 JSON 回傳 redirect URL | | POST | /oauth/token | Token 交換與更新 — 支援 authorization_code 與 refresh_token grant type | | POST | /oauth/revoke | 撤銷 token | | GET | /oauth/userinfo | 使用者資料（依 scope 決定回傳欄位） |

Scope (DOC-REF-AUTH-003)

| Scope | 說明 | |-------|------| | openid | 基本 OpenID Connect 識別，回傳 sub（使用者 ID） | | profile | 名稱、頭像、帳號（name、preferred_username、picture） | | email | 電子郵件地址與驗證狀態（email、email_verified） |

Token 格式 (DOC-REF-AUTH-004)

| Token | 前綴 | 有效期 | |-------|------|--------| | Access Token | vbco_ | 1 小時 | | Refresh Token | vbcr_ | 30 天（每次使用自動輪換） | | Client Secret | vbcs_ | 永久（可重新產生） |