除Google以外的任何OAuth2提供商都可提供訪問令牌驗證而無需額外的服務器調用？

Question

我正在開發一個移動應用程序，必須與它自己的自定義後端API進行交流。我寧願不推出自己的身份驗證和帳戶管理，我寧願使用現有提供商的Oauth2。

Google允許您驗證Google生成的Oauth令牌服務器端，而無需調用Google的服務器。這很重要，因爲我將分別驗證每個請求。如果服務器每次需要調用外部服務來驗證令牌，則該服務將變得越來越慢並且難以擴展。谷歌在本節中提到了如何驗證他們的令牌：Validating Tokens。除了需要每天大約刷新一次Google的證書，您可以單獨在自己的服務器上驗證Google生成的OAuth令牌。

我的問題是，有沒有其他OAuth提供商不需要額外的電話來驗證令牌？看起來Facebook和Twitter都需要調用他們的服務器來驗證令牌。由於這些令牌具有到期時間，因此調用外部服務來驗證此令牌並將此結果緩存在令牌有效期內是一種很好的做法嗎？如果這是一個很好的做法，我可以考慮除了Google的OAuth之外的這些服務。

Answer 1

我不知道有任何其他主要服務以Google的方式簽署代幣。我懷疑（並希望）隨着時間的推移它會變得更加普遍。

至於Facebook和Twitter去，你必須驗證與他們的API令牌，因爲他們是權威的發佈它。你可以做的一件事是避免不斷地向他們的API發出請求，發出你自己的令牌，以便設備在與你的API交談時使用。

這可能是這樣的：？？

POST /登錄ACCESS_TOKEN = twitter_token - >聯繫Twitter的API - >問題，並返回自己的令牌

POST/API /富的access_token = your_api_token

隨着這一點，只有一個調用外部驗證服務。其餘的API調用使用令牌，您可以使用自己的數據庫進行驗證。