OAuth 2.0。サーバーがaccess_tokensを検証する方法

Question

私は2台のサーバーを持っています。つまり、AとBとしましょう。サーバーAはユーザーを認証し、トークンを生成します。 今すぐサーバーBトークンが有効かどうかチェックしますか？有効なトークンを確認するたびにサーバAを通過する必要がありますか？

サーバーBにトークンを有効期限とともに保存し、サーバーBの検証をチェックする必要がありますか？アクセストークン（認可サーバ）とアクセストークン（リソースサーバ）によって保護されたAPIを提供するサーバを発行するサーバが異なる場合

Answer 1

、単純な実装では、リソースサーバは、と通信する必要がありますアクセス・トークンを検証するたびに認証サーバーに通知します。

RFC 7662（OAuth 2.0のトークンイントロスペクション）は、認証サーバは、アクセストークンをイントロスペクトするリソースサーバを提供内省エンドポイントの仕様を規定します。リソースサーバーによってホストされるAPIの実装は、イントロスペクションエンドポイントを呼び出して、クライアントアプリケーションによって提示されるアクセストークンを検証することが期待されます。