AngularJS で Spring RESTful API バックエンドとクライアントを使用してアプリケーションを作成する予定です。
Spring RESTful API を Google OAuth2 認証サーバーで保護したいと考えています。
アーキテクチャに関する質問があります:
Google で認証が成功すると、Google OAuth2 認証サーバーから accessToken を受け取ります。この accessToken をクライアント アプリケーション (AngularJS) に転送する必要がありますか、またはバックエンド アプリケーション (JWT など) に独自のセキュリティ レイヤーを導入し、Google accessToken に基づいて独自の jwtToken を発行し、このトークンのみをクライアントに転送する必要がありますか?アプリ ?
つまり、Google からクライアントの AngularJS アプリに accessToken を表示し、それを自分の RESTful API での認証に使用しても安全ですか?
また、RESTful API の場合、クライアント アプリケーション (AngularJS) から安全な RESTful API を呼び出すたびに、Google Auth サーバーで Google accessToken を検証する必要がありますか?