Nella concessione dell'autorizzazione OAuthv2 , un'app client "autentica se stesso contro un" server di autenticazione "e riceve un" token di accesso "per accedere alle risorse che vivono in un" server delle risorse ”.
Le mie preoccupazioni:
- Come fa il server delle risorse a sapere che il token di accesso è valido (non falsificato o scaduto)? Esiste qualche comunicazione di base sottostante tra il server delle risorse e il server di autenticazione?
- In che modo il server delle risorse conosce l'ambito del token di accesso (lettura o scrittura)? Ad esempio, forse quando l'app client è stata autorizzata, l'utente l'ha autorizzato solo per SOLO LETTURA, ma ora l'app client sta tentando di modificare le risorse. In che modo il server delle risorse protegge da questo?
- Ovviamente nel mondo reale ci devono essere ruoli / ambiti più fini oltre che READ e WRITE. Ad esempio, un servizio web potrebbe dover consentire le SCRITTURE a determinati utenti / client, ma solo per determinate risorse o risorse nelle giuste condizioni. In che modo gli ambiti OAuthv2 integrati vengono associati a ruoli / autorizzazioni specifici dell'app?