При использовании трехуровневой архитектуры и реализации oauth2:
- , когда пользователь попадает в защищенную конечную точку в клиентском приложении mvc, он перенаправляется на сервер идентификации и yadi yadi yada, mvc клиентское приложение получает токен и принимает решение.
- этот токен, который получил mvc клиент, должен проверить, есть ли у пользователя разрешение на продолжение работы.
Но как вторая часть (mvc клиент для авторизации api) работает? Я имею в виду, что api тоже должен знать, может ли пользователь продолжать, но ему нужно знать, действительно ли клиент mvc авторизован для продолжения, верно?