Nella mia comprensione di OAuth2, è possibile utilizzare lo ambito per specificare l'accesso a quanto richiesto e concesso dal proprietario del codice.
Nella maggior parte dei casi, ho riscontrato che l'elenco degli ambiti è chiuso e specifica "tipi" di elementi a cui è possibile accedere, ad esempio profilo , email , openid da Accesso a Google .
Ha senso codificare l'accesso a risorse specifiche nell'ambito? Come account: {numero account}: rw
Questo è il caso in cui l'utente ha più risorse distinte gestite dal server di risorse e vorrebbe autorizzare l'accesso di terze parti a risorse specifiche ma invece di "tipo" di risorsa. Ad esempio l'applicazione ipotetica gestirà le cartelle di dati e l'utente U concederebbe l'accesso in lettura alla sua cartella "/ A" ma non qualsiasi altra cartella all'applicazione B
Capisco che in questo caso sia il server di autorizzazione che quello di risorsa dovrebbero analizzare e gestire specificamente tali ambiti aperti.
Ci sono altri problemi con questo approccio?
OAuth2 è anche la tecnologia giusta per questo caso? Se non cosa usare invece?