Supponiamo che un client ottenga un token ID e acceda al token dal server di autenticazione dopo l'autenticazione riuscita. Il client ora invia una richiesta al server delle applicazioni (la richiesta contiene token di accesso e token ID). A mio avviso, il server delle applicazioni ora deve contattare il server di autenticazione per convalidare questi token. Se i token sono validi, il server delle applicazioni accetta la richiesta. In caso contrario, la richiesta viene respinta. È corretto?
Il problema principale che ho con questa configurazione è l'obbligo di contattare il server di autenticazione per ogni richiesta. C'è un modo standard per evitare questo? È possibile utilizzare una chiave segreta (nota sia all'autore che al server dell'applicazione) per convalidare una firma - simile a JWT. In questo caso qual è la differenza tra OpenID Connect + OAuth2 e JWT?