Soy nuevo en OAuth 2.0. Usé el servidor OAuth PHP de BShaffer en la concesión de código de autorización, y entiendo que la aplicación cliente puede tener su token OAuth separado de su autenticación de sesión, es decir, si un usuario cierra la sesión, el token de acceso no se revoca y el token de actualización es utilizado para obtener un nuevo token de acceso al vencimiento.
Estoy creando una aplicación de confianza utilizando una API con la concesión de credenciales de usuario (o propietario del recurso) de OAuth. Mis preguntas son:
- Dado que estoy en OAuth Grant de credenciales de usuario, ¿debería OAuth tener todas las credenciales de usuario y ser únicamente la capa de autenticación de usuario (que actuaría como una capa de SSO)?
- Con eso, ¿puedo usar un token de OAuth como token de sesión?
- Al cerrar sesión en la aplicación cliente, ¿debo revocar el token de OAuth?