У меня есть вопрос о том, как реализовать поток кода авторизации. Я понимаю, что могут быть предоставлены два токена: - токен ID, который предоставляет подробную информацию о пользователе - токен доступа, который проверяет пользователя на клиенте, разрешен
токен идентификатора может быть возвращен пользователю за его агентом пользователя, который позволяет персонализировать интерфейс пользователя с его информацией. Токен доступа не должен храниться в пользовательском агенте во избежание угрозы человеку в среднем случае и должен рассматриваться как непрозрачный. То, что я не уверен или не понимаю, так как токен доступа связан с тем фактом, что он не должен храниться на стороне пользовательского агента. Как клиентский oid c может сопоставить запрос пользователя с токеном, который он получает в фоновом режиме? - Нужно ли клиенту хранить в кэше токен доступа? - Как токен доступа (вероятно, в кеше) связан с запросом пользователя? (со связыванием идентификатора токена и токена доступа в кеше) Если необходимо кэшировать, как лучше всего реализовать реализацию без сохранения состояния? - использовать некоторую базу данных, например, redis?
Вероятно, я не первый, кто задает этот вопрос, но я, вероятно, плохо ищу, чтобы найти, как пользователь связан с токеном доступа.
Заранее спасибо, чтобы сделать это более понятным для меня.
С уважением,