<div dir="ltr">I have a resource and a few scopes associated with the resource.<div>Both the resource and the scope have permissions associated with them.</div><div><br></div><div>It seems logical that if one of the resource permissions resolves to DENY, the whole resource is denied for the user.</div><div>But why the same happens with scope permissions?</div><div><br></div><div>As I understood from the docuemntation, scopes are verbs that can act upon a resource. So if an user isn&#39;t authorized to perform one of the verbs (one of the scopes), the user still should have access to the resource itself, if the resource permissions allow, but it doesn&#39;t to seem to work this way.</div><div>I expected to automaticlaly block users that are not authorized for the resource. With the rest users I expected to check each scope programmatically for avaiability of corresponding actions (resource:view, resource:edit, etc).</div><div><br></div><div>I used the &quot;<span style="color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14px;line-height:20px">hello-world-authz-service</span>&quot; example (Keycloak server configuration and the application code) with a few changes (added scopes) to check it. Didn&#39;t work - access denied if one of the scope permissions fails.</div></div>