Estoy considerando la implementación de un módulo de autenticación utilizando el Cliente OAuth 2.0 y estoy tratando de evitar tener un estado de servidor. Estaba analizando algunas otras preguntas
Parece que implementar un nonce requiere almacenar algo en el servidor para garantizar que los ataques de repetición no ocurran porque la solicitud no debería ocurrir dos veces.
Sin embargo, esto es solo para la autenticación / autorización, no para los datos de envío de formularios, en cuyo caso la implementación de un nonce es fácil, ya que necesitaría tener el estado del servidor de todos modos para capturar los datos.
Entonces, mientras más lo veo, no parece tener sentido utilizar un nonce en este caso de uso (excepto el inicio de sesión, pero ese es el problema del servidor de Autorización), el token (cifrado con una clave secreta que es en el servidor basado en el cliente_secret de OAuth) Debo estar bien para enviar (hasta que caduque).
¿Hay algo que pueda faltar?