Надеюсь, что ваша проблема - учетные данные, отправленные в качестве заголовка авторизации запроса проверки токена, и токен, отправленный для проверки, не принадлежит тому же пользователю.
В соответствии с OAuth 2.0 Token Introspection
Чтобы предотвратить атаки сканирования токенов, конечная точка ДОЛЖНА также требовать некоторую форму авторизации для доступа к этой конечной точке, такую как клиентаутентификация, как описано в OAuth 2.0 [RFC6749] или отдельном маркере доступа OAuth 2.0, таком как токен канала-носителя, описанный в разделе Использование маркера OAuth 2.0 [RFC6750].Методы управления и проверки этих учетных данных выходят за рамки данной спецификации.
Таким образом, конечная точка самоанализа должна быть защищена с помощью какого-либо механизма аутентификации.WSO2 Identity Server поддерживает обычную аутентификацию с именем пользователя / паролем и аутентификацией на носителе.Но мы не можем ожидать получения учетных данных того же пользователя, что и в заголовке авторизации, поскольку в момент проверки токена невозможно получить учетные данные владельца токена или активный токен, принадлежащий пользователю.
Таким образом, Identity Server ожидает учетные данные пользователя, у которого есть разрешение /permission/admin/manage/identity/applicationmgt/view для авторизации конечной точки.
Подробнее см. В документации WSO2 .