La requête peut comporter une ou plusieurs valeurs de portée, indiquant l'accès supplémentaire demandé par l'application. Le serveur d'autorisation devra afficher les portées demandées à l'utilisateur. S'il y a plus d'une valeur de portée, elles sont séparées par un espace.