【メモ】OAuth 2.0 におけるアクセストークンの種類

OAuth2
  • アクセストークンは次の2種類に分類できる
  • reference token
    • 認可サーバーでしか検証できないトークン(ランダムな文字列など)
    • リソースサーバーはトークンを受け取るたびに毎回認可サーバーにトークンの検証をリクエストしなければいけない
    • サービスをスケールさせるときに認可サーバーがボトルネックになる可能性が高い
  • self-contained token
    • 認可サーバー以外でもトークンを検証する事ができる(JWSなど)
    • リソースサーバーはトークンを受け取ると認可サーバーと通信せずに検証が可能
    • サービスをスケールさせるときに認可サーバーがボトルネックになる可能性は低い