Я попытаюсь разоблачить мою проблему, надеясь, что кто-то может мне помочь:
Я нахожусь в сценарии мобильного приложения банка, которое использует поток кода аутентификации. Пользователи, после ввода своих учетных данных и возможного otp, получают токен доступа и refre sh токен. Моя проблема в том, что после получения токенов некоторые пользователи должны завершить регистрацию договора, как если бы это был своего рода третий фактор аутентификации. .
В этом сценарии полученный токен доступа должен иметь область действия, действительную только для API, полезных для завершения регистрации, и конец этого процесса для получения токена доступа с допустимой областью действия. для всех остальных API.
Возможно ли это, или я неправильно понимаю oauth2?
Спасибо, Мишель