Я новичок в oauth2, я пытался реализовать это, я обнаружил, что для clientId я также должен предоставить области и полномочия, здесь я запутался, не должно ли это быть на уровне пользователя, каков объем пользователя и ролипользователя.
Сфера это другое слово для разрешения. Вы указываете, какие разрешения запрашивает ваше приложение через scopes. Пользователь представлен с этим списком и может отклонить ваш запрос. В качестве примера можно было бы запросить область действия email для получения адреса электронной почты пользователя.
scopes
email
Официальное определение, определенное здесь :
Область действия - это механизм в OAuth2.0, чтобы ограничить доступ приложения к учетной записи пользователя. Приложение может запросить одну или несколько областей, эта информация затем представляется пользователю на экране согласия, и маркер доступа, выданный приложению, будет ограничен предоставленными областями.