偏见

我是Authlete ， Inc 。的联合创始人，该公司是一家在云端提供OAuth 2.0和OpenID Connect实施的公司，因此本文档可能会受到这种偏见的影响。因此，请在脑海中阅读本文档。但是，基本上，我将从纯工程师的角度来写这篇文章。

2.OAuth是否必要？

“我们希望在我们的公司网站上这样做。我们应该实施OAuth吗？“ - 这经常被问到。从本质上讲，这个问题是询问OAuth是什么。

我经常用来解释OAuth的一句话答案如下。

OAuth 2.0是一种框架，其中服务的用户可以允许第三方应用程序访问他/她在服务中托管的数据，而无需向应用程序透露他/她的凭据。

重要的一点是“不向第三方应用程序透露凭据” 。 OAuth就是为此而存在的。一旦理解了这一点，您可以通过检查是否满足以下条件来判断您是否应该为公司的服务准备OAuth服务器。

「应用安全」OAuth和OpenID Connect的全面比较( 二 )