OAuth2 (planned)
OAuth2 для ботов пока не реализован. Аутентификация ботов сейчас — только
через static Bot-токен (см. Static tokens).
Скоупы выдаёт админ Space при приглашении бота (invite), а не через
OAuth-consent.
Эндпоинтов /oauth/*, client_secret, PKCE и refresh-token rotation в API
ещё нет — не интегрируйтесь по ним. Эта страница — roadmap.
Зачем планируется
Для публичных ботов из каталога: 1-click install, когда пользователь добавляет бота в свой Space без ручной генерации токена. Authorization code grant + PKCE, refresh-token с rotation.
Пока — static-токены
До появления marketplace используйте static Bot-токены: один токен на бота, скоупы назначаются админом Space при invite.