OAuth говорит о том, как токены должны быть обменены.То, что вы упомянули, кажется, что вы говорите об использовании неявного предоставления, которое немного менее безопасно, и вы можете подумать о выборе потока авторизации.
Кроме этого, в микросервисах, когда у вас много служб и один пользовательзапрос проходит через множество нисходящих сервисов, проверка токена с провайдером аутентификации на каждом этапе может стать узким местом.
Существуют способы, с помощью которых вы можете пропустить этот вызов серверу авторизации и при этом проверить святостьтокен без явного вызова.Одним из способов является использование JWT.Эти токены подписаны провайдером Auth, и ваши сервисы имеют ключи, которые могут помочь вам проверить, изменен ли токен, и сам токен содержит всю информацию, необходимую для обеспечения его действительности, такую как срок действия, предполагаемая аудитория, клиенты, роли и т. д.
При входе в систему вы получаете AT и RT.AT может передаваться в нисходящий поток для аутентификации и авторизации, а RT может использоваться после истечения срока действия AT.Вам нужно только поговорить с провайдером аутентификации во время входа в систему и когда вам необходимо обновить токен.
Вы можете прочитать больше о JWT OAuth2.0 с JWT и OIDC, чтобы получить больше информации об этом