Sto cercando di implementare OAuth 2.0 e ho notato nelle specifiche che menzionano due server: un server di autenticazione per passare i token di accesso e un server di risorse per utilizzare i token di accesso.
La mia domanda è, quanto è importante avere due server per questo? E 'una di quelle cose in cui sarebbe perfetto usare un server per entrambi i lavori e separarli è per una maggiore sicurezza o è assolutamente fondamentale avere due server per questo?
OAuth è come qualsiasi altro schema di autenticazione per quanto riguarda il suo scopo funzionale. Si inviano credenziali e vengono restituite le informazioni dell'utente (anche se si tratta solo di messaggi di successo / fail).
Di solito un server di autenticazione basato su standard viene utilizzato da più applicazioni in modo tale da essere realmente isolato dal dominio funzionale, dal codice base e dall'host. Non si desidera che le modifiche apportate a un'applicazione influiscano su un server di autenticazione utilizzato da altre applicazioni. Ciò potrebbe essere disastroso in un ambiente di produzione e aggiungere più QA di quanto necessario per le modifiche all'app.
Se non verrà mai utilizzato da altre applicazioni, non c'è motivo di aggiungere quel livello di complessità che OAuth aggiungerà al mix.
Quindi la separazione dovrebbe essere lì se OAuth è pianificato. In effetti il tuo server OAuth dovrebbe essere il suo progetto.