OAuthクライアント資格情報フローのスコープの必要性

Question

私にとって、クライアント資格情報フローは、クライアントが自分自身のためにアクセストークンを要求するようなものであり、一部のユーザーのためではありません。

では、なぜクライアントは独自のスコープを制限したいのでしょうか。クライアント資格情報フローのスコープの利点は何ですか？

DanielE · Accepted Answer

クライアントがスコープのサブセットのみが必要な特定のユースケースのみにアクセストークンを要求する場合、クライアントがスコープを絞り込むことは理にかなっています。アクセストークンが漏洩した場合、攻撃者はこのユースケースにのみアクセスできます。