En nuestra configuración necesitamos tanto una autenticación de usuario confiable como una autorización basada en el alcance.
Considere el siguiente escenario: un usuario inicia sesión en nuestro cliente (portal) mediante OpenID Connect, y nuestro cliente desea acceder a un recurso ("leer") en un servidor de recursos (expuesto por una API de servicio backend) en un servidor diferente. servidor que está protegido a través de OAuth 2.0.
¿Sería un enfoque legítimo agregar un alcance de "lectura" personalizado a OpenID Connect y utilizar el token de acceso (!) recibido para acceder a una API protegida que requiere el alcance de "lectura"?