Эти термины терминов довольно перегружены в разработке программного обеспечения, поэтому всегда трудно определить точное значение без фокусировки в очень специфическом контексте. Имейте в виду, что даже аутентификацию можно рассматривать как очень широкий контекст.
Я бы перефразировать предлагаемый технологический процесс к следующему:
- запросов пользователей доступа, предоставляя набор учетных данных пользователя (мы не должны использовать пароли все время, см passwordless authentication из любопытство).
- Сервер авторизации проверяет идентификатор пользователя и, если он действителен, выдает токен доступа.
- Клиент приложение, с которого пользователь начал процесс, получает и сохраняет выданный токен доступа.
- клиент обращается к серверу ресурсов с использованием токена доступа для получения ресурсов, связанных с пользователем.
Черт, теперь у нас есть еще больше терминов, но давайте попробуем исправить это, предоставив некоторые определения.
Во-первых, те более общие:
Client: приложение, которое получает информацию от сервера для локального использования.
Учетные данные: Имена пользователей, пароли, адреса электронной почты - всевозможные средства для связи сторон для создания или получения жетонов безопасности.
(источник: Auth0 Identity Glossary)
Тогда определение в контексте OAuth 2.0 и/или OpenID Connect:
Авторизация сервер: сервер, выдавший маркер доступа к клиенту после успешной аутентификации владельца ресурса и получения разрешения.
Сервер ресурсов: Сервер, на котором размещены защищенные ресурсы, способные принимать и отвечать на запросы защищенных ресурсов с использованием токенов доступа.
Клиент: Приложение, защищающее запросы на ресурсы от имени владельца ресурса и с его авторизацией. Термин «клиент» не подразумевает каких-либо конкретных характеристик реализации (например, выполняется ли приложение на сервере, на рабочем столе или на других устройствах).
(источник: RFC 6749)
Это даже полезно попытаться определить приложения, но то, что мы должны сделать вывод из других определений является следующее:
- Как вы сказали, клиент может от веб-приложений до мобильных приложений на стороне сервера.
- Роль сервера авторизации и сервера ресурсов может воспроизводиться одним и тем же компонентом, например веб-API, который имеет конечную точку, защищенную базовой аутентификацией HTTP, которая может использоваться для обмена паролями учетных данных пользователя и пароля с токен доступа, а затем все остальные конечные точки API защищены таким образом, что разрешают доступ только в том случае, если вы предоставляете этот токен доступа.
Наконец, последнее замечание, чтобы прояснить ваш последний вопрос, да, создание токенов доступа должно происходить на стороне сервера, поскольку создание токена будет сопровождаться каким-то механизмом, который обеспечит, чтобы токен не может быть подделан и был фактически создан очень хорошо осведомленным субъектом. Для случая JWT's этот механизм состоит из подписания токена, который достигается тем, что сервер знает секрет, который никто не знает.
Благодарим вас за дополнительные сведения. – Grateful