在资源所有者密码流程中,用户可以处理范围吗?

In resource owner password flow, can user handle the scope?

我正在使用 Identity Server 4 从单个应用程序页面对用户进行身份验证。由于项目需要,不得不使用资源所有者密码流
Identity Server 和我的应用程序可以很好地协同工作。 Identity Server 提供一个访问令牌,我可以使用此令牌访问我们拥有的一些 API。 但是,我问自己有关访问令牌、用户和 socpes 的问题。现在我的设置是这个。

在此配置中,拥有访问权限的是客户端API,而不是用户。我想知道如何将此范围提供给用户而不是客户。

愚蠢的是,我想知道用户是否可以拥有范围而不是客户端。可能是我漏掉了或者理解错了什么,还请大家指教

在资源所有者密码流程中,您的客户端将始终需要对您的资源受保护的范围具有权限。但是,这并不意味着您无法根据与用户相关的声明保护您的 API。

例如,如果在您的 API 中,您需要基于访问 API 的用户的不同权限,请查看使用声明信息作为您授权的一部分。在 http://docs.identityserver.io/en/release/quickstarts/2_resource_owner_passwords.html 的 Resource Owner Password Flow 示例中,您会看到它在页面底部提到了这一点,请参阅以下两段:

When you send the token to the identity API endpoint, you will notice one small but important difference compared to the client credentials grant. The access token will now contain a sub claim which uniquely identifies the user. This “sub” claim can be seen by examining the content variable after the call to the API and also will be displayed on the screen by the console application.

The presence (or absence) of the sub claim let’s the API distinguish between calls on behalf of clients and calls on behalf of users.