Отличный вопрос, я предполагаю, что ваш запрос аутентификации включает параметр аудитории, который представляет ваш пользовательский API (Rest API) прямо сейчас. В терминах oauth2 это называется Resource Server. Каждый ресурсный сервер может иметь много разрешений, которые вы включаете в область при запуске запроса аутентификации. Давайте вернемся назад и поговорим о формате токена. Auth0 выдает токен в двух форматах:
- Непрозрачные строки: если пользовательский API не используется
- JSON Web Tokens (JWT): при использовании пользовательского API
https://auth0.com/docs/tokens/reference/access-token/access-token-formats#how-does-all-this-affect-the-token-format-
Как объяснено выше по ссылке, формат токена зависит от параметра аудитории (Custom API). Поэтому, когда запрос аутентификации включает аудиторию, auth0 выдает токен JWT со всеми необходимыми разрешениями. Затем необходимо проверить токен JWT на сервере API, прежде чем возвращать ресурсы клиенту переднего плана.
Должно иметь смысл, зачем вам нужно создавать собственный API в auth0 и определять разрешения. Если вы не создаете пользовательский API в auth0, нет способа узнать, какое разрешение вам нужно в токене, что приведет к ошибке (указана неверная аудитория)