Nel nostro setup abbiamo bisogno sia dell'autenticazione utente affidabile che dell'autorizzazione basata sull'ambito.
Considera il seguente scenario: un utente accede al nostro client (portale) utilizzando OpenID Connect e il nostro cliente desidera accedere a una risorsa ("lettura") su un server di risorse (esposto da un'API del servizio di backend) su un altro server protetto da OAuth 2.0.
Sarebbe un approccio legittimo aggiungere un ambito di "lettura" personalizzato a OpenID Connect e utilizzare il token di accesso ricevuto (!) per accedere a un'API protetta che richiede l'ambito "read"?