Scope — разрешения, которые приложение запрашивает у пользователя. Пример: "read:profile write:posts" — приложение хочет читать профиль и писать посты. Пользователь видит список и соглашается (или нет). Access token содержит granted scopes. API проверяет: у токена есть scope "write:posts"? нет → 403. Scopes позволяют principle of least privilege — приложение получает минимум прав. Примеры: GitHub (repo, user:email), Google (gmail.read, calendar). В Go middleware проверяет scopes из JWT claims или introspection endpoint.