Стоит задача написать авторизацию для Внешних сервисов.
Как таковых требований пока нет, но они внезапно могут появиться.
Например, кто, сколько когда и куда обращался за данными, отозвать токен и так далее, но пока это опустим.
Сейчас в приложении существует почти стандартная авторизация которую предоставляют тулы Symfony.
В обмен на логин и пароль Symfony отдаёт JWT.
Но эта авторизация предназначена для пользователей системы.
Теперь нужно реализовать авторизацию для внешних интеграций.
Собираю материал для реализации данной фичи.
В частности интересует вопрос.
Если при стандартной авторизации мы передаём пару логин/пароль и получаем токен.
То при авторизации внешним ресурсом мы будем обменивать Client ID & Client Secret на code, а code на access_token
Всё как в VKApi или Google auth.
Фактически, в базе данных должна храниться информация Client ID, Client Secret по аналогии с пользователями?
Хотелось бы услышать рекомендации.
PS
Изучаю материал
Вот некоторый материал по теме для изучения 
Средний
