Токен доступа Azure с более узкой областью действия

Question

У меня есть вопрос о получении токена доступа, с токеном обновления с более узкой областью действия.

Я отправляю этот запрос конечной точке Azure Token

POST /{tenant}/oauth2/token HTTP/1.1
Host: https://login.microsoftonline.com
Content-Type: application/x-www-form-urlencoded

client_id=6731de76-14a6-49ae-97bc-6eba6914391e
&scopehttps%3A%2F%2Fanalysis.windows.net%2Fpowerbi%2Fapi%2FReport.Read.All%20https%3A%2F%2Fanalysis.windows.net%2Fpowerbi%2Fapi%2FDashboard.Read.All%20https%3A%2F%2Fanalysis.windows.net%2Fpowerbi%2Fapi%2FDataset.Read.All
&refresh_token=OAAABAAAAiL9Kn2Z27UubvWFPbm0gLWQJVzCTE9UkP3pSx1aXxUjq...
&grant_type=refresh_token
&resource=https%3A%2F%2Fanalysis.windows.net%2Fpowerbi%2Fapi
&client_secret=JqQX2PNo9bpM0uEihUPzyrh

Если я правильно помню, OAuth2 разрешает эту операцию. Я хотел бы спросить, не делаю ли я что-то не так, или Azure не реализует эту функцию?

Answer 1

В Azure AD параметр области определяет минимальные области, которые вы хотите иметь в токене. Таким образом, токен все еще может содержать другие разрешения, если они были согласованы. Насколько я знаю, нет способа контролировать это поведение.