IdentityServer4之ApiResource、ApiResourceScope、ApiScope三者之间的关系

ApiResource

定义一个api资源。他的名称将会包含在accesstoken的aud这个声明中。
aud用于webapi来验证自己定义的Audience。

如图。api服务器定义了Audience，并开启了验证只有。accesstoken中的aud声明里包含了该Audience，才能通过验证。

ApiResourceScope

这个用于定义哪些apiScope可以访问ApiResourceScope关联的ApiResource。在获取accesstoken时，如果Client拥有的scope在ApiResourceScope中也有定义。则token中就会添加ApiResourceScope对应ApiResource的aud声明。

ApiScope

主要用于为Client提供accesstoken中的scope声明的值。

总结

Client包含某个scope。且ApiResourceScope表中也定义了该scope。则该Client获取的accesstoken中将会包含aud这个声明，且值为ApiResourceScope表中对应记录关联的ApiResource的名称
而aud用于api资源服务器验证accesstoken。

记录一下。以免日后又花时间理。如有错误。恳请指正。