Supongamos que un cliente obtiene un token de ID y un token de acceso del servidor de autenticación después de la autenticación exitosa. El cliente ahora envía una solicitud al servidor de aplicaciones (la solicitud contiene el token de acceso y el token de ID). A mi entender, el servidor de aplicaciones ahora tiene que ponerse en contacto con el servidor de autenticación para validar estos tokens. Si los tokens son válidos, el servidor de aplicaciones acepta la solicitud. De lo contrario, la solicitud es rechazada. ¿Esto es correcto?
El problema principal que tengo con esta configuración es el requisito de contactar al servidor de autenticación para cada solicitud. ¿Hay una manera estándar de evitar esto? ¿Es posible usar una clave secreta (conocida tanto para el servidor de autenticación como para la autenticación) para validar una firma, similar a JWT? En este caso, ¿cuál es la diferencia entre OpenID Connect + OAuth2 y JWT?