Diciamo che il mio Server è sia Authorization Server che Resource server
Il mio cliente (ad esempio l'app mobile) può autenticarsi in 2 argomenti:
- via Concessione di credenziali password proprietario risorse
- via Codice di autorizzazione Sovvenzione / implicita utilizzando Facebook ad esempio
Ora 1 è banale - sto solo memorizzando il access toke n nel DB del server dopo l'autenticazione e su ogni chiamata a protected resource Sto verificando il token di accesso.
Ma per quanto riguarda il caso 2: il mio server dovrebbe memorizzare access token che ho ricevuto da facebook o su ogni chiamata per risorsa protetta il mio server dovrebbe call facebook api per convalidare il access token ?
Ci sono degli svantaggi nel mantenere un token di accesso che il tuo sistema non ha generato?
Ipotesi:
- i token di accesso hanno ttl I token di accesso
- vengono utilizzati solo per ottenere risorse protette dal mio server di risorse (ad esempio non facebook)