在auth服务器或资源服务器中存储用户数据？还是两者兼而有之？

我需要了解在我的项目范围内使用autheorizaion服务器的便利性。 我们正在实现我们的服务并将其部署到客户环境中。 客户基础结构已经提供了一种身份验证机制，以便对用户进行身份验证。 此机制拦截所有通信并将用户重定向到“登录”表单。 之后，用户被重定向到我们的服务，我们必须处理和消化它，并使用JWT令牌进行响应。 这是我感到迷茫的地方： 我在想: 使用Spring oauth2 向授权服务器请

我们正在开发一个微服务架构中的应用程序，该应用程序在多个OAuth2提供商（如Google和Facebook）上使用Spring Cloud OAuth2实现登录。我们还在开发自己的授权服务器，并将在下一个版本中集成。 现在，在我们的微服务(即资源服务器)上，我想知道如何处理多个< code>token-info-uri或< code>user-info-uri到多个授权服务器(例如脸书或谷歌)。

我们的项目中使用的是Spring Cloud config server，它有多个微服务。配置服务器就绪后，我们现在将所有微服务的所有属性存储在一个中央git存储库中。每个微服务能够根据应用程序名称和配置文件提取自己的属性文件。我们试图将资源包存储在中央存储库中，并让config-server将这些资源包提供给微服务。我们的资源包包括属性文件，如messages_en.properties、mes

问题内容： 我们已经设置了OAuth2授权服务器，因此我需要创建一个相应的资源服务器（单独的服务器）。我们计划使用Spring Security OAuth2项目。他们关于设置资源服务器的文档： https://github.com/spring-projects/spring-security- oauth/wiki/oAuth2#resource-server-configuration 应该

我们已经设置了一个OAuth2授权服务器，所以我需要创建一个相应的资源服务器（单独的服务器）。我们计划使用Spring Security OAuth2项目。他们关于设置资源服务器的文档： https://github.com/spring-projects/spring-security-oauth/wiki/oauth2#资源-服务器-配置 应该指向令牌处理bean。然而，令牌处理似乎是由服务器

我有以下场景：一个客户端应用程序试图访问API网关后面的APIendpoint。我想验证（使用id和秘密）应用程序，如果它是应用程序A允许它访问endpoint/信用，如果它是应用程序B允许它访问endpoint/借方。 我假设API网关应该验证一个调用是否应该被拒绝。你能告诉我我的工作流应该是什么样子，我应该使用什么Keycloak功能吗？