REST API Как разделить grant type password и client_credentials в запросах

Всем привет. Разбираюсь с REST API, помогите пожалуйста разобрать один момент. Делаю на yii2, использую эту библиотеку.

Авторизация на сайте будет для приложения и для клиента. Для приложения выдаю токен по запросы с grant_type: client_credentials , для пользователя grant_type:password

Допустим у меня в ресте есть 5 методов:

GET /users
GET /users/1
PUT /users/1
DELETE /users/1
POST /users/create

Логично предположить, что GET /users не должен быть доступен для пользователя, а только для приложения.

Как мне понять в каком случае я могу дать ответ, а где я должен ответить forbidden? Ведь в обоих случаях запросы будут приходить с access token. Думал создавать для каждого клиента 2 приложения с разными client_id и client_secret (т.е. один будет для самого приложения, второй для пользователей приложения) и с помощью scopes разделять разрешенные маршруты. Но так и не понял как обращаться со scope, как их привязать к rbac, как автоматически определять по scope разрешенные маршруты, а ведь еще у каждого пользователя в зависимости от его состояния могут быть разные права (например если заказ отменен, он не может его оплатить и выдавать этот scope клиенту не нужно). Вопросов стало только больше.

Подскажите, может я двигаюсь совсем не в том направлении? И как делать в этом случае правильно? Если непонятно объяснил, напишите в комментарии - поправлю вопрос.