Estoy intentando implementar OAuth 2.0 y noté que en la especificación mencionan dos servidores: un servidor de autenticación para pasar los tokens de acceso y un servidor de recursos para usar los tokens de acceso.
Mi pregunta es, ¿qué tan importante es tener dos servidores para esto? ¿Es una de esas cosas en las que estaría perfectamente bien usar un servidor para ambos trabajos y separarlos es por seguridad adicional o es absolutamente crítico tener dos servidores para esto?
OAuth es como cualquier otro esquema de autenticación con respecto a su propósito funcional. Le envías credenciales y devuelve la información del usuario (incluso si solo se trata de mensajes correctos / fallidos).
Por lo general, varias aplicaciones utilizan un servidor de autenticación basado en estándares, por lo que realmente lo quiere aislado en su propio dominio funcional, base de código y host. No desea que los cambios realizados en una aplicación afecten a un servidor de autenticación que utilizan otras aplicaciones. Eso podría ser desastroso en un entorno de producción y agrega más control de calidad de lo que debería necesitar para realizar cambios en la aplicación.
Si nunca será utilizado por otras aplicaciones, no hay razón para agregar esa capa de complejidad que OAuth agregará a la mezcla.
Así que sí, la separación debería estar allí si se planea OAuth. De hecho, su servidor OAuth debería ser su propio proyecto.