Ho usato json webtokens per gestire l'autenticazione per alcuni siti web di hobby in passato. Per il mio prossimo sito vorrei utilizzare OAuth2, per consentire l'utilizzo del mio sito con altri servizi.
Sembra che il protocollo authorization_code OAuth2 aggiunga alcuni passaggi aggiuntivi (stato e codice di autorizzazione) per evitare un tipo di attacco di riproduzione in cui un client viene ingannato nell'utilizzo di un token di accesso rilasciato a un altro client.
È l'unico scopo di emettere un codice di autorizzazione prima dello scambio di token? Se aggiungo informazioni come client_id e tempo di scadenza in un JWT firmato e restituisco questo come "codice_autorizzazione", saltando la fase di scambio dei token, avrò perso qualche sicurezza? Suppongo che tutte le comunicazioni avvengano su https.