Die Anfrage kann einen oder mehrere Werte für den Geltungsbereich enthalten und so auf von der Anwendung angeforderte zusätzliche Zugriffsrechte hinweisen. Der Autorisierungsserver muss dem Benutzer die angeforderten Geltungsbereiche anzeigen. Sind mehrere Geltungsbereichswerte vorhanden, sind diese durch ein Leerzeichen getrennt.