OAuth 2.0 mit einem einzigen Server

Question

Ich bin gekommen, um zu sehen, dass das OAuth-2.0-Protokoll für einen „Web App Server“ aufruft, die die APIs sowie einen „OAuth 2“ Server, der den Benutzer authentifiziert hat. Obwohl dies auf einem einzelnen Server geschehen kann oder gibt es dafür bestimmte Gründe, MUSS es auf zwei separaten Servern geschehen?

Kann die Authentifizierung ein Login-API-Aufruf auf dem einzigen Web-Server sein, der einen Zugriffstoken selbst zurück oder wird dies eine fehlerhafte Weise authentifiziert sein?

Answer 1

Der "Web App Server" - oder Resource Server in OAuth 2.0 Terminologie - und der "OAuth 2" Server - oder Authorization Server in OAuth 2.0 Terminologie - können sicherlich auf dem gleichen Server leben. Das Konzept soll die Authentifizierung des Benutzers (Ressourceneigentümer) und die Autorisierung des Aufrufers (Clients) von der Anwendung selbst in einen separaten Dienst (Autorisierungsserver) trennen, aber ob dieser separate Dienst auf derselben Box lebt, ist irrelevant Du kontrollierst beides.

kann die Authentifizierung ein Login-API-Aufruf, die ein Zugriffstoken zurückgegeben. Beispiele dafür sind den so genannten Ressourcen Besitzer Passwort Credentials Zuschuss (https://tools.ietf.org/html/rfc6749#section-4.3) und den Client-Credentials Zuschuss (https://tools.ietf.org/html/rfc6749#section-4.4).