После успешной аутнентификации на стороннем сервисе, как клиент должен получить токен для доступа к серверу ресурсов?

Question

[Lensoy]

На собственном сервере ресурсов (Spring) для аутентификации пользователя используется сторонние сервисы (google, vk, yandex). Весь процесc аутентификации проходит на сервере. После получения idToken и аутентификации пользователя, есть 2 непонятных момента:

1. как клиент должен получить авторизационный токен для дальнейшего взаимодействия с api?
   
2. Где следует хранить refresh token на сервере?
   

Comments

[Lapita12]

1. После успешной аутентификации на стороннем сервисе, сервер должен вернуть клиенту авторизационный токен, который клиент будет использовать для доступа к серверу ресурсов. Этот токен может быть передан клиенту в виде HTTP-ответа на запрос аутентификации, например, в заголовке `Authorization`. Клиент должен сохранить этот токен и использовать его для каждого запроса к серверу ресурсов, который требует авторизации.

2. Refresh token следует хранить на сервере в безопасном месте, например, в базе данных. При необходимости обновления авторизационного токена, клиент должен отправить запрос на сервер ресурсов с использованием refresh token. Сервер ресурсов должен проверить валидность refresh token и, если он действителен, вернуть новый авторизационный токен. После этого клиент должен сохранить новый токен и использовать его для дальнейшего взаимодействия с сервером ресурсов.