我以前在示例应用程序中使用过基于JWT的授权,所以我了解访问令牌如何生成,如何刷新令牌等的基础知识。但是,我现在是唯一的开发人员具有真正用户的更复杂的商业Web应用程序,因此也存在真正的安全问题。
我不了解的是,我过去发现的许多文章都引用了客户端向“授权服务器”发送请求,这似乎暗示着该客户端与应用程序的后端服务器是分开的。
根据我过去在Node / Express中使用JWT的经验,我只是将JWT编码集成到我的用户路由中,并构建了一些授权中间件来验证身份验证。所有这些都与我的Express应用程序的其余部分位于同一文件树中。这会引起关注吗?
如果通过“授权服务器”,我应该拥有一个完全专用于授权用户的完全独立的服务器,这是我需要单独提供的东西(我们将使用AWS Elastic Beanstalk)还是存在SAAS / PAAS通常用于生成授权令牌?请记住,尽管这将是商业广告,但规模相对较小(在未来2-3年中最多可能有1,000个用户)。