The Resourse Server

The Resouce Server — это термин в OAuth 2.0, определяющий наш API сервер (или группу серверов).

Verifying Access Tokens

Сервер ресурсов должен быть способен ассоциировать access-токен с аккаунтом пользователя. Если используем Self-Encoded токены, то серверу ресурсов не надо делать обращения к базе данных или внешним сервисам.

Другой подход — использовать Token Introspection спецификацию для построения API для проверки access-токена.

Это хороший способ справиться с проверкой access-токенов на большом количестве серверов ресурсов, поскольку это означает, что вы можете инкапсулировать всю логику access-токенов на одном сервере, предоставляя информацию через API другим частям системы. Introspection Token endpoint предназначена только для внутреннего использования, поэтому вы захотите защитить ее с помощью некоторой внутренней авторизации или включить ее только на сервере в брандмауэре системы.

Verifying Scope

Сервер ресурсов нужно знать список скопов, которые ассоциированы с access-токеном.