Мы используем поток учетных данных клиента OAuth2 для аутентификации двух разных веб-интерфейсов (потребителей) по отношению к одному центральному API (поставщику).
Однако им должны быть предоставлены разные виды разрешений в центральном API, например. один клиент не должен иметь доступа к определенным данным.
Я полагаю, что для этого обычно используются области; однако наш поставщик удостоверений в настоящее время их еще не поддерживает. Как безопасно идентифицировать клиента? Токен также не содержит поля «тема», поэтому я не могу сказать, для какого клиента этот токен предназначен: (