OAuth 2 客户端实现如何请求新范围？

Question

我正在我们的客户端（Android 应用）上实现 OAuth 2 流。客户端是我们的应用程序，它与受信任的服务器通信。这里没有第三方。

当用户登录时，我使用客户端 ID 和密码从服务器获取授权码，最终获得访问令牌。

我在应用程序中存储了访问令牌以及刷新令牌和特定范围的到期时间，例如“X”。

现在我们正在向应用程序添加一项新功能，但服务器要求我发送范围“Y”以从服务器访问该功能的资源。

我的问题是

1. 我是否需要告诉服务器此用户需要范围“Y”？如果是，我该怎么做？我只有范围“X”的访问令牌和刷新令牌。服务器是否需要公开一项服务，该服务采用我当前的访问令牌和新范围，并为范围 'X' 和 'Y' 返回一个新的访问令牌？我迷路了吗？

2. 在客户端，我假设一个访问令牌应该映射到多个范围。

Answer 1

查看规范here

授权和令牌端点允许客户端使用“范围”请求参数指定访问请求的范围。

e.g server may have scope : view_my_picture delete_my_picture create_entry_in_album

grant_type=<e.gclient_credentials>&client_id=<yourApp>&client_secret=<secret>&scope=view_my_picture

服务器可能会提供所有请求的权限或修改后的列表（例如因为用户拒绝了某些权限）：

如果颁发的访问令牌范围与客户端请求的范围不同，授权服务器必须包含“范围”响应参数以通知客户端授予的实际范围。