Apreciaría si alguien pudiera aclarar si, de acuerdo con OAuth2 RFC , el servidor de recursos podría inferir el usuario asociado a un token de acceso o no, o incluso si se espera.
Supongamos lo siguiente:
- El servidor de autorización y el servidor de recursos están separados y independiente.
- El cliente es un servicio de impresión.
- El servidor de recursos alberga fotos de usuario.
- El cliente quiere invocar una API protegida desde el servidor de recursos para obtener las fotos del usuario enlace e imprímelos.
- El cliente redirige al usuario al servidor de autorización independiente y termina generando un token de acceso.
- El cliente usa ese token de acceso para obtener e imprimir algunas fotos de usuarios.
Dado que el token es opaco y no tiene ningún significado para el servidor de recursos independiente ni para el cliente, nada evitará que el cliente use ese token de acceso para acceder e imprimir fotos de cualquier usuario , no solo el Quien lo haya autorizado.
¿Esto es correcto? O de lo contrario, ¿cómo el servidor de recursos relaciona al usuario con el token para limitar su uso?