API请求的适当范围是什么

Question

我需要允许一个应用程序从另一个帐户访问一些数据。我做OAuth2身份验证，但在v2.0中，我们需要传递的不是资源，而是作用域。例如，我想启动/停止VirtualMachines，或者只是列出它们，这样做的合适范围是什么？

我已经找到了这个引用，但我猜它对新的flow https://docs.microsoft.com/en-us/azure/role-based-access-control/resource-provider-operations#microsoftaad无效

Answer 1

如果您是以自己的身份登录(即，使用已登录的用户)，则您要请求的scope值为https://management.azure.com/user_impersonation。在登录(如果需要，并授予同意)之后，对Azure资源的访问将取决于登录用户的权限。

如果这是一个执行无人值守访问的安全服务器，那么您只需使用“占位符”范围参数值https://management.azure.com/.default (作为一种指示您想要一个访问令牌到https://management.azure.com的方式)。