OAuth 2.0 с одним сервером

Question

Я пришел к выводу, что протокол OAuth 2.0 требует наличия «сервера веб-приложений» с API-интерфейсами, а также сервера «OAuth 2», который аутентифицирует пользователя. Хотя это можно сделать на одном сервере или есть конкретные причины, которые ДОЛЖНЫ выполняться на двух отдельных серверах?

Может ли аутентификация быть вызовом API входа в систему на одном веб-сервере, который возвращает сам токен доступа или это будет ошибочный способ аутентификации?

Answer 1

«Сервер веб-приложений» - или сервер ресурсов в терминологии OAuth 2.0 - и сервер «OAuth 2» - или сервер авторизации в терминологии OAuth 2.0 - безусловно, могут жить на одном сервере. Концепция предназначена для разделения аутентификации пользователя (владельца ресурсов) и авторизации вызывающего (клиента) из самого приложения в отдельную службу (сервер авторизации), но независимо от того, является ли этот отдельный ресурс одним и тем же полем, вы контролируете оба.

Аутентификация может быть вызовом API входа, который возвращает токен доступа. Примерами этого являются так называемый грант учетных данных ресурса владельца ресурса (https://tools.ietf.org/html/rfc6749#section-4.3) и грант Credentials клиента (https://tools.ietf.org/html/rfc6749#section-4.4).