问实现OAUTH2最佳实践

EN

我正在尝试构建OAUTH2提供者(比如discord/google)，用户可以在其中创建一个具有client_id和client_secret的“应用程序”。在我研究的时候，我发现OAUTH2最适合做这种事情。

现在让人困惑的部分是主登录页面是如何工作的？

我是否也有自己的/login路由页面和POST /login来处理自己的用户，这样我就有两个表：

API

• OAuthSession

• MyOwnSession-这将保持我自己的平台发布的访问令牌完全优于api/oauth2/token!!)

-向第三方应用程序发出的令牌(跟踪client_id，以及它们拥有的scope )(由api/oauth2/token！！)发布)。

然后，像/api/user这样的受保护的路由将检查Authorization: Bearer <access_code>并检查两个表，以确定这是否是有效的访问令牌(有点冗余吗？)

因此，我很确定我将如何为客户端(第三方)实现OAuth2流，但我非常困惑主平台(OAUTH2应用程序)如何处理会话(允许用户更改密码和创建新的客户机/应用程序)。

有小费吗？谢谢!

编辑：

好的，根据我的发现，这类事情没有真正的定义。

例如，不和谐有POST /login，他们发送用户名+密码，并处理所有其他2FA。

并分别处理OAUTH2。

因此，简而言之，当您构建自己的OAUTH2服务器/提供者(例如。你想成为谷歌帐户/不和谐)来处理你自己的登录，你可以用任何你想做的方式，然后oauth2路由只能被其他客户使用(第三方？)

现在我正在为我自己的项目做反应-前端，我也想拥有access_token和refresh_token来获得更多的安全性！但是我不认为与OAUTH2-tokens共享同一个表是明智的，因为我的tokes将具有完全的权限，而oauth2令牌的作用域仅限于其他应用程序(客户端、第三方)的请求。

在我的后端中，检查访问令牌是否有效的最好方法是什么？我猜如果存在access_token，请检查这两个表？或者尝试将它们都放在一个表中(或者使用UNION同时获得两者)