Невозможно Intospect ссылочный токен другим клиентом

Question

У меня есть IDS4 (ресурс ids) с пользователями на одном хосте

options.ApiName = "ids";
options.ApiSecret = "secret";

и клиент (clientId cl1) с PasswordFlowCredentials. Клиент имеет область действия ids.

Когда я получаю токен JWT с логином-паролем по cl1, у меня есть доступ к контроллерам на ids. Но если я получу ссылочный токен, я не смогу получить доступ.

Конечная точка самоанализа возвращает 401, потому что client_id=ids но токен от cl1. token=15cf93dd255db79a46141c9403f86a71f81d797b2e7649bdd56e10f860c9afde&client_id=ids&token_type_hint=access_token&client_secret=secret

Содержимое токена от PersistedGrants (сокращенно)

    {"CreationTime":"2019-01-11T11:12:37Z","Lifetime":900000,"AccessToken":
    {"Audiences":
    ["https://localhost:5000/resources","ids"],
    "Issuer":"https://localhost:5000","CreationTime":"2019-01-11T11:12:37Z",
    "Lifetime":90000,"Type":"access_token","ClientId":"cl1",
    "AccessTokenType":1,"Claims":
    [{"Type":"client_id","Value":"cl1","ValueType":"http://www.w3.org/2001/XMLSchema#string"},
    {"Type":"scope","Value":"ids","ValueType":"http://www.w3.org/2001/XMLSchema#string"},
    {"Type":"sub","Value":"5eb745a6-21ab-4f69-941d-0295f9a9e468","ValueType":"http://www.w3.org/2001/XMLSchema#string"},

Где ошибка?

Как я могу проверить ссылочный токен?

Answer 1

client_id в запросе самоанализа не client_id. Должно быть Resource Id от [dbo].[ApiResources] и секрет от [dbo].[ApiSecrets]