Ответ 1
Я заметил, что у клиента есть область видимости и полномочия
Клиент имеет только область видимости, но мы можем рассматривать/использовать ее как полномочия (роли). Это связано с тем, что спецификация OAuth не объясняет специфическое использование области.
Учтите, что пользователь авторизует твиттер, чтобы опубликовать пользовательский твит в facebook. В этом случае твиттер будет иметь область write_facebook_status. Хотя пользователь имеет право изменять профиль пользователя, но это не означает, что твиттер также может изменять профиль пользователя. Другими словами, областью применения являются полномочия/роли клиента, а не пользовательские полномочия/роли.
web_server_redirect_url
это будет использоваться сервером авторизации для перенаправления запроса на исходный URL-адрес или обратный вызов (разрешение на авторизацию) после успешной авторизации.
access_token_validity
это время истечения token_access в секундах. Установите для -1 или 0 для бесконечного. Если вы установите значение 60, то через 1 минуту ваш токен_access будет недействительным. Вам нужно либо запросить новый токен, выполнив процесс авторизации, либо воспользуйтесь refresh_token.
refresh_token_validity
это время истечения refresh_token.