目录

一、关于API作用域（ApiScope）

一般来说，API作用域是用来规范可访问的API资源，为access_token中scope提供范围声明。
如：

"scope": [
    "gmapiscope",
    "offline_access"
 ],

二、关于API资源（ApiResources）

可访问的api资源列表，每个API资源都需要归纳到某个作用域内（多对多关系）。在ApiResourceScopes表中配置，用来定义哪些apiScope可以访问ApiResourceScope关联的ApiResource。体现在accesstoken_token中aud字段。
如：

"aud": [
    "gmapi",
    "testapi"
 ],

三、关于客户端（Client）

客户端的配置，包括token的过期时间、是否开启刷新token、授权方式、跨域设置、oidc登入登出地址等。注意ClientScopes表，用来定义该客户端可以访问哪些apiScope，简单说，client和ApiResource同时包含某个ApiScope，则client包含该apiscope所有apiResources。

四、关于身份资源（IdentityResources）

用于获取身份信息接口（/connect/userinfo)，以后说明。

五、Client、ApiScope、ApiResources关系图及配置顺序

5.1 关系图

image.png

5.2 配置顺序

ApiScope>ApiResources>Client