SPAなフロントエンドアプリの為にバックエンド側にAPIを作るというシステムがあったとして。
バックエンドはやっぱり将来的なことを考えるとMicroServicesにしたいよねという事になり。
では、APIの認可/認証どうする? アクセストークンとかどう保管する? ということを考えていたわけであるが。
で、色々考えてみたのだが、そもそも全てのアクションはユーザー認証後に行われるし、APIを外部のアプリに公開する予定も無いのだから別にOAuthの認可/認証はいらないな、と。
普通のWEBアプリのようにユーザー認証 → セッション発行の流れで全く問題ない。
バックエンドのAPIはセッションIDを元にアクセスコントロールを行えばいいので、アクセストークン云々は考える必要がなかった。
将来的にAPIを部分的に外部アプリに公開したいという事になったらその時改めてOAuthの仕組みを検討しても遅くはないだろう。
少なくとも今考えることではないよねという結論になった。