uaa权限scope

token管理

tokens.write：token除权，包括用户和客户端token

tokens.read：token读取，包括用户和客户端token

UAA用户组管理

scim.read：读用户和组

 scim.write：添加/更新/删除用户和组

password.write：修改自己的密码

scim.userids：访问用户 ids/user的endpoint

scim.me：读/添加/更新/删除自己的用户和组

uaa.admin：设置用户密码

UAA客户端管理

clients.read：读取客户端注册信息

clients.write：添加，更新，删除客户端

clients.secret：修改自己的密钥

杂项

openid：SSO（Single Sign On）时，获取用户信息

uaa.admin：设置用户密码

uaa.user：用户都拥有的权限，尚未用到

uaa.resource：未用到

approvals.me：未用到

CloudController访问

cloud_controller.admin：管理访问，包含读和写

cloud_controller.read：读权限，一般指GET请求

cloud_controller.write：写权限， 一般指POST，PUT，DELETE请求，但同时需要OrgManger角色。

 

添加一个用户后，uaa会给一些默认权限：openid, password.write, cloud_controller.read, cloud_controller.write, tokens.read, tokens.write，这些权限无需显示添加。

注意：cf版本之间有微小的差异，例如：cloud_controller.write在某些版本还是不支持的，应用时需注意具体情况。