有关使用RESTful架构中的其他服务器进行此身份验证的意见

Question

我＆＃39;实现RESTful Web服务的新功能。我需要你的意见，以了解我的想法是否可行。我想从资源数据库（主要的，包含所有用户故事）中分离认证数据库。我把它们放在两个不同的Web服务器上。客户端将其令牌发送到回复生成的令牌的主要接口（auth服务器）（如果登录有效），同时认证服务器将userID和userToken发送到资源数据库服务器。

客户端已收到令牌，这意味着它已登录，并且可以向资源数据库服务器请求资源。它附加了userToken以证明其身份。资源数据库服务器检查userToken，如果它没有过期，它会向客户端回复所请求的数据。

我试图用两张图片解释这个概念。

我想了解这是否是一个很好的身份验证过程实现。我非常关心安全性，性能和灵活性。你怎么看待这个？

您对此有何建议？非常感谢你。