Oauth 2.0 如何在不重新登录的情况下获得具有附加作用域的新访问令牌？

我在云铸造UAA工作

我不确定在标准oauth2中是否可以。 情况是->

用户登录到应用程序

他收到访问令牌和刷新令牌

他可以继续获取具有原始作用域的新访问令牌

他的访问权限更改，因此为他添加了新的作用域

现在我需要一个新的访问令牌，而不需要他再次登录。 我是否可以使用相同的刷新\u令牌并请求使用修改范围的访问\u令牌

---

提前谢谢

一个字不可以。这将违反用户的信任。 如果你没有听说，那是件坏事

有一份互联网RFC草案（由谷歌提出）

---

这里有一些关于它的讨论。

谢谢@jwilleke提供的答案和参考资料。我认为这是不标准的，不会这样做。