3. Implementation Note (Implementierungshinweis)
3. Implementation Note (Implementierungshinweis)
OAuth 2.0 ermöglicht Flexibilität bei der Bereitstellung in Bezug auf den Stil von Zugriffstoken. Die Zugriffstoken können in sich geschlossen sein, sodass ein resource server (Ressourcenserver) keine weitere Interaktion mit einem Autorisierungsserver benötigt, der diese Token ausstellt, um eine Autorisierungsentscheidung für den Client zu treffen, der Zugriff auf eine geschützte Ressource anfordert. Ein Systemdesign kann jedoch stattdessen Zugriffstoken verwenden, die Handles sind, die auf Autorisierungsdaten verweisen, die auf dem Autorisierungsserver gespeichert sind. Dies erfordert folglich, dass ein Ressourcenserver jedes Mal, wenn ein Client ein Zugriffstoken vorlegt, eine Anforderung an den jeweiligen Autorisierungsserver sendet, um den Inhalt des Zugriffstokens abzurufen.
Obwohl dies nicht die einzigen Optionen sind, veranschaulichen sie die Auswirkungen auf den Widerruf. Im letzteren Fall ist der Autorisierungsserver in der Lage, ein zuvor an einen Client ausgestelltes Zugriffstoken zu widerrufen, wenn der Ressourcenserver ein empfangenes Zugriffstoken weiterleitet. Im ersteren Fall kann eine (derzeit nicht standardisierte) Backend-Interaktion zwischen dem Autorisierungsserver und dem Ressourcenserver verwendet werden, wenn ein sofortiger Widerruf des Zugriffstokens gewünscht wird. Eine weitere Designalternative besteht darin, kurzlebige Zugriffstoken auszustellen, die jederzeit unter Verwendung der entsprechenden Aktualisierungstoken aktualisiert werden können. Dies ermöglicht es dem Autorisierungsserver, eine Begrenzung für die Zeit aufzuerlegen, die widerrufen wird, wenn Zugriffstoken verwendet werden.
Welcher Ansatz für den Token-Widerruf gewählt wird, hängt vom gesamten Systemdesign und von der Risikoanalyse des Anwendungsdienstanbieters ab. Die Kosten des Widerrufs in Bezug auf den erforderlichen Zustand und den Kommunikationsaufwand sind letztendlich das Ergebnis der gewünschten Sicherheitseigenschaften.