Ho trascorso alcuni giorni a leggere le misure di sicurezza basate su Oauth e token per le API REST e attualmente sto cercando di implementare un approccio di autenticazione basato su Oauth quasi esattamente come quello descritto in questo post ( Alternativa OAuth per un sistema di 2 parti ).
Da quanto ho capito, il token deve essere verificato su ogni richiesta al server delle risorse. Ciò significa che il server delle risorse dovrà recuperare il token da un archivio dati per verificare il token dei client. Dato questo dovrebbe accadere su ogni richiesta sono preoccupato per le implicazioni di velocità di colpire un datastore come MySQL o NoSQL su ogni richiesta solo per verificare il token.
È questo il modo standard per verificare i token facendoli memorizzare in un database RDBMS o NoSQL e recuperati ad ogni richiesta? O è una soluzione adatta per averli memorizzati nella cache (ricordando che stiamo parlando di milioni di utenti)?