OpenID连接，oAuth2-从哪里开始？

您的理解离现实不远。想象一下，您有两台服务器，一台用于身份验证，这台负责根据Authoration Basic和base 64编码的CLientID/ClientSecret组合生成令牌。这基本上是应用程序身份验证。如果您也想添加用户数据，只需在帖子正文中传递用户名/密码，在服务器端进行身份验证，然后向令牌添加更多数据，例如用户名、声明、角色等

您可以控制放入这些令牌的内容，如果您使用JWT（Json Web令牌）之类的东西，那么它们只是Json数据位。

然后你有一个资源服务器，你用授权承载和你从授权承载中获得的令牌击中它。

最初，令牌不会存储在任何地方，而是在您控制的一段时间内发行。但是，如果您真的愿意，您可以执行其他操作并将它们存储在db中。不过，过期要安全得多，即使有人得到了他们的手，他们也不会有太长时间！在我的情况下，我用了30分钟来验证令牌的有效性。

现在，您还没有指定要研究的语言/框架。如果您使用类似于点网的东西，那么请查看IdentityServer，版本4代表点网核心，版本3代表以下任何内容。

如果您感兴趣，我还有一篇关于这个主题的很长的文章：

https://eidand.com/2015/03/28/authorization-system-with-owin-web-api-json-web-tokens/

希望所有这些都能澄清你的一些问题。

-添加以回答评论中的问题。

令牌包含所有需要由资源服务器正确验证的信息，无需将其存储在数据库中。正如我已经说过的，你可以储存它们，但在我看来，这会使它们不那么安全。不要忘记，您可以控制令牌中的内容，以便在需要时添加用户名。

设想一下，您希望在对授权服务器的同一调用中对应用程序和用户进行身份验证。以标准方式执行OAuth2，这意味着首先根据客户机id/客户机机密对应用程序进行身份验证。如果通过了，那么接下来进行用户身份验证。将用户名或用户ID添加到您生成的令牌以及您需要的任何其他信息位。这意味着资源服务器可以安全地假定在令牌中传递给它的用户名已经由身份验证服务器验证，否则首先不会生成令牌。

我更倾向于将这两个方面分开，这意味着让AS（授权服务器）来处理应用程序级的安全性。然后在RS（资源服务器）端有一个endpoint，例如ValidateUser，它负责用户验证，之后可以执行任何需要的操作。我会说，选择哪个更适合你的项目。

最后一点，始终确保所有api调用（AS和RS都是真正的api）都是通过HTTPS进行的，并且永远不要通过GET调用传输任何重要信息，这意味着URL可以被截获。邮件头和邮件正文都是通过HTTPS加密和安全的。

我相信这应该能解决你的两个问题。