Я не уверен, что этот действительный сценарий в мире OAuth.Возможно ли иметь пользовательские разрешения с использованием маркера oauth?
У меня есть сценарий, в котором мне нужно реализовать oauth на моих ресурсных серверах и позволить лишь немногим пользователям в моей организации разрешить доступ к API с моего сервера (Resource Server), так же как и у меня есть какой-то другой ресурсный сервер (ы).) где у него разные группы пользователей имеют права доступа.
как часть токена доступа, который я получаю на свой сервер, я вижу только области по умолчанию (профиль электронной почты openid), которые будут иметь соединение openId.в этом случае мой провайдер аутентификации должен иметь все пользовательские разрешения на клиентском уровне (сервер ресурсов)?или ответственность сервера ресурсов за сопоставление пользователя с ролями и получение маркера oauth для аутентификации?