OAuth2返回JWT代替access_token

我目前正在使用bshaffer PHP库here构建OAuth2提供程序。OAuth2返回JWT代替access_token

我发现了IETF draft specifications，它们概述了具体调用JSON Web Tokens作为授权授权和客户端认证的实现。

然而，我感兴趣的实现是返回JWT来代替常规访问令牌，如here所示。在死链接的情况下，访问令牌响应被粘贴在下面。

{  
    "access_token":"eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiJ9.eyJpZCI6IjYzMjIwNzg0YzUzODA3ZjVmZTc2Yjg4ZjZkNjdlMmExZTIxODlhZTEiLCJjbGllbnRfaWQiOiJUZXN0IENsaWVudCBJRCIsInVzZXJfaWQiOm51bGwsImV4cGlyZXMiOjEzODAwNDQ1NDIsInRva2VuX3R5cGUiOiJiZWFyZXIiLCJzY29wZSI6bnVsbH0.PcC4k8Q_etpU-J4yGFEuBUdeyMJhtpZFkVQ__sXpe78eSi7xTniqOOtgfWa62Y4sj5Npta8xPuDglH8Fueh_APZX4wGCiRE1P4nT4APQCOTbgcuCNXwjmP8znk9F76ID2WxThaMbmpsTTEkuyyUYQKCCdxlIcSbVvcLZUGKZ6-g", 
    "client_id":"CLIENT_ID", 
    "user_id":null, 
    "expires":1382630473, 
    "scope":null 
} 

到位的正常授权补助定期生成的访问令牌的返回JWT。客户和用户凭据授权对我来说更为重要，因为我们只处理第一方API访问。

此实现看起来很理想，因为我不需要维护一个生成的令牌存储区，从而限制了所需的基础架构数量。在某些时候，如果我们向第三方开放API，我们需要一个用于各种pub/priv密钥的密钥存储区来验证每个客户端的令牌，并在某些恶意方偷走加密密钥时限制风险。

我觉得这是一个很好的依赖于非对称加密和SSL/TLS的实现。但是，我是否存在潜在的安全风险？