Oauth 2.0 在oAuth 2.0中分离身份验证服务器和资源服务器

我正在尝试创建OAuth2.0应用程序，并决定将身份验证服务器和资源服务器分开。 我应该如何在客户端中维护状态

客户端将向身份验证服务器请求身份验证令牌。身份验证服务器将验证并发送令牌。直到我明白这一点。我现在应该如何使用令牌。我是否应该使用访问令牌直接向资源服务器发出请求，并且资源服务器应该使用身份验证服务器验证访问令牌？或者我应该首先向auth server发出请求，然后验证请求并将其转发到资源服务器？

RFC（）建议：

（F） 资源服务器验证访问令牌，如果有效， 满足要求

而且：

授权服务器和资源服务器之间的交互 超出了本规范的范围

---

我的直觉是让您的资源服务器接收一个请求，然后在可能的情况下验证访问令牌本身，或者根据需要查询身份验证服务器，而不是让身份验证服务器代理请求。

访问受保护的资源

客户端通过显示访问权限来访问受保护的资源 资源服务器的令牌。资源服务器必须验证 访问令牌并确保其未过期且其作用域 覆盖请求的资源。资源使用的方法 服务器验证访问令牌（以及任何错误响应） 超出本规范的范围，但通常涉及 资源服务器和服务器之间的交互或协调 授权服务器

客户机使用访问令牌访问的方法 通过资源服务器进行身份验证取决于访问类型 由授权服务器颁发的令牌。通常，它包括 使用HTTP“Authorization”请求头字段[RFC2617]和 由访问规范定义的身份验证方案

---

使用的令牌类型，如[RFC6750]。

我将接受此答案。这也是我认为我应该做的。谢谢，登录部分应该在哪里？在身份验证服务器或资源服务器本身中？我希望您的身份验证服务器是发出访问令牌的服务器。