Para obtener un token de acceso, un token de identificación y, opcionalmente, un token de actualización, el RP (cliente) envía una solicitud de token al endpoint de token para obtener una respuesta de token.
TOKEN REQUEST
Un cliente realiza una solicitud de token presentando su concesión de autorización (en forma de código de autorización) al endpoint de token utilizando el código de autorización de valor «grant_type».
Si el cliente es un cliente confidencial, debe autenticarse en el endpoint de token utilizando el método de autenticación registrado para su «client_id».
Todos los clientes utilizarán clave secreta, y la forma de introducirla en cabecera es:
Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
[Para recibir autorización, el código de este parámetro se implementa con el client_id y la contraseña, separados por un solo carácter de dos puntos («:»), dentro de una cadena codificada en base64 en las credenciales].
[authorization_code] -> recibe el token de acceso
[refresh_token] -> recibe el token de acceso
OpenID spec reference: https://openid.net/specs/openid-connect-core-1_0.html#TokenRequest