Facciamo un esempio dove ci sono due server di risorse - RS1 e RS2 e c'è un server di autorizzazione - AS.
Entrambi i server di risorse - RS1 e RS2 utilizzano il server di autorizzazione - AS
Se un client richiede un token di accesso per RS1 e lo passa a RS2, in che modo RS2 lo convaliderà e fallirà?
Una possibilità è dipendere dai controlli di ambito - ma sembra che i controlli di ambito non siano altro che confronti tra stringhe (o sbaglio qui?). In tal caso, se sia RS1 che RS2 definiscono esattamente lo stesso nome dell'ambito (ad esempio Read
), allora non c'è affidabilità nemmeno con gli ambiti.