OAuth範圍確認屏幕可以爲用戶選擇嗎？

Question

我對OAuth很陌生，正在尋找一個服務的概念，在這個服務中用戶擁有多個項目配置文件。我希望用戶能夠授權訪問某個項目配置文件中的某些信息，但不能訪問其他信息。因此，不僅可以在授權視圖中顯示文本範圍列表，還可以顯示他們可以選擇想要共享訪問權限的配置文件列表？這些信息可以傳回客戶端應用程序嗎？

類似的比喻可能是客戶端應用程序可能被允許對單個GitHub組織進行詳細訪問，但不允許任何其他用戶參與的組織。

Answer 1

3.3. Access Token Scope的第3段在RFC 6749如下說。

授權服務器可完全或部分忽略由客戶端請求的範圍 的基礎上，授權服務器策略或 資源所有者的指示。如果發出的訪問令牌範圍 與客戶請求的不同，授權 服務器必須包含「範圍」響應參數以通知 客戶端授予的實際範圍。

因此，授權服務器實現可以使資源所有者能夠選擇範圍。另外，當授予的範圍實際上與客戶端應用程序最初請求的範圍不同時，您可以預期scope參數隨訪問令牌一起返回。