OAuth 2.0プロトコルでは、APIを持つ「Web App Server」と、ユーザを認証する「OAuth 2」サーバが必要であることがわかりました。これは単一のサーバー上で行うことはできますか、それとも2つの別々のサーバーで行う必要がある特定の理由がありますか?OAuth 2.0を1台のサーバで使用する
認証は、アクセストークンを返す単一のWebサーバー上のログインAPI呼び出しであることができますか、それとも認証に誤りがありますか?
「Web App Server」(またはOAuth 2.0用語のリソースサーバー)と「OAuth 2」サーバーまたはOAuth 2.0用語のAuthorization Serverは、確実に同じサーバー上に存在します。この概念は、ユーザー(リソース所有者)の認証と呼び出し元(クライアント)の承認をアプリケーション自体から別のサービス(認可サーバー)に分離することを意図していますが、その別個のサービスが同じボックスに存在するかどうかは、あなたは両方を制御します。
認証には、アクセストークンを返すログインAPI呼び出しを使用できます。その例として、いわゆるリソースオーナーパスワード資格認定(https://tools.ietf.org/html/rfc6749#section-4.3)とクライアント資格認定(https://tools.ietf.org/html/rfc6749#section-4.4)があります。