Historique de la page

...

CAS	OIDC	SAML 2
Server	IPD ou OpenID provider ou Authorization server	IDP
Service	Client ou RP (Relying Party)	SP
/login	/authorization
/serviceValidate /p3/serviceValidate	/token	HTTP Artifact resolution
	/userinfo	Attribute Query
Paramètres :
`service`	`client_id` & `redirect_uri` & `state`	`SAMLRequest`
`ticket`	`code`	Artifact
`gateway`	`prompt=none`	`isPassive`
`renew`	`prompt=login`	`ForceAuthn`
Un peu similaire :
proxy ticket (valide une fois)	access token (valide un certain temps)
PGT	refresh token

...

response_mode

query (CAS, SAML "HTTP ArtifactRedirect")
fragment (implicit grant, #code=xxx, possible avec CAS en mettant un "#" dans l'url "service", mais ne donne accès qu'au ticket, pas plus)
form_post (à la SAML "HTTP PostPOST")

expérimental :

CORS AJAX
postmessage (notamment chez google en non standard avec redirect_uri=postmessage : http://www.riskcompletefailure.com/2013/03/postmessage-oauth-20.html)

...