Sécurisation des API avec oAuth

J'ai lu sur oAuth les derniers jours, mais il y a une chose qui n'est pas tout à fait claire pour moi.

J'ai donc ce server d'autorisation d'oAuth qui (en ignorant quelques étapes entre ici) à la fin fournit un jeton d'access qui me permet d'accéder à une API spécifique.

La plupart des articles supposent toujours que cette API sera une sorte de point final / me qui contient les informations de l'user. L'hypothèse est que cette API fonctionne sur la même machine que le server d'autorisation

Ce que je veux faire, c'est protéger un certain nombre d'API dans tout notre réseau via oAuth.

Donc, par exemple, j'ai cette API à foo.domain.com à laquelle mon client souhaite accéder. Donc, le client parle à AuthServer avec son client et ses informations d'identification (en supposant les Subventions pour les Credentiels du Client) et reçoit un AccessToken qu'il enverra avec les requêtes à foo.domain.com

Maintenant, ma question serait: comment le server foo.domain.com a-t-il access aux données derrière AccessToken (qui devrait être au less clientId et scope)? Il réside dans une sorte de database, est-ce que vous autorisez simplement l'access de l'hôte API à cette database?

Du sharepoint vue de la security, cela semble assez peu sûr. Si mon hôte API était compromis, un attaquant pouvait simplement lire tout AccessToken depuis le db et accéder à n'importe quelle API qui stocke des jetons.

Quelles seraient vos stratégies pour limiter une API spécifique pour ne recevoir que le jeton "it's" tout en maintenant un système centralisé d'administration et de gestion des informations d'identification.

Merci de votre avis à l'avance

wirtsi