Я проверяю API, клиент которого является мобильным приложением, используя рабочий процесс OAuth2, но мне чего-то не хватает. У меня есть первая конечная точка API /token.oauth2, которая позволяет мне с учетными данными получить токен доступа, необходимый для вызова других конечных точек API. Пока все в порядке, но помимо этого у меня есть «x-api-ключ», который передается вместе с токеном доступа, и если и ключ API, и токен доступа отсутствуют, сервер отправляет мне ответ HTTP 401. Я не могу найти упоминания о потоке соединения, использующем и ключ x-api, и токен доступа в стандарте OAuth2. Когда ты думаешь?