Из того, что я понимаю об OAuth2 framework, клиентское приложение может выполнять задачу от имени пользователя, при этом пользователю (владельцу ресурса) не нужно делиться своими учетными данными.
Пока все хорошо, но что о ролях и полномочиях, необходимых клиентскому приложению для авторизации. Если клиентское приложение хочет получить ROLES, могу ли я использовать сторонних поставщиков OAuth2, и в этом случае мне нужно настроить свой собственный OAuthServer?