He visto un par de charlas que sugirieron el uso de la traducción del token de OAuth en la puerta de enlace de la API del token opaco al token de JWT. ¿Cuáles son las ventajas y desventajas de este enfoque, quién debería usarlo?
Si estamos usando HTTPS, no creo que esto haga ninguna diferencia en términos de fugas de token. Dos desventajas serían ahora que los clientes no pueden deducir lo que pueden hacer o si su token sigue activo, y debemos poner toda nuestra API detrás de una puerta de enlace *.
*: Quiero decir que también podríamos ponerlos detrás de n gateways siempre que hablen con un único Servidor de Autorización, pero esto supone n veces la carga para el AS.
Aquí hay un ejemplo de conversación enlace