Tomemos un ejemplo donde hay dos servidores de recursos: RS1 y RS2 y hay un servidor de autorización: AS.
Ambos servidores de recursos: RS1 y RS2 usan el servidor de autorización - AS
Si un cliente solicita un token de acceso para RS1 y lo pasa a RS2, ¿cómo lo validará y fallará RS2?
Una posibilidad es depender de las verificaciones de alcance, pero parece que las verificaciones de alcance no son más que comparaciones de cadenas (¿o me equivoco aquí?). En ese caso, si tanto RS1 como RS2 definen exactamente el mismo nombre de ámbito (por ejemplo, Read
), entonces no hay confiabilidad incluso con los ámbitos.