3.认证和授权

我解释了让人们感到困惑的术语 - “OAuth身份验证” 。

每个解释都说“OAuth是授权规范，而不是身份验证规范。 ”这是因为RFC 6749（OAuth 2.0授权框架）明确指出认证“超出了本规范的范围。 ”以下段落摘自“ 3.1 。 RFC 6749中的“授权端点” 。

授权端点用于与资源所有者交互并获得授权授权。授权服务器必须首先验证资源所有者的身份。授权服务器验证资源所有者的方式（例如，用户名和密码登录，会话cookie）超出了本规范的范围。

尽管如此， “OAuth身份验证”一词泛滥并使人们感到困惑。这种混淆不仅在商业方面，而且在工程师中也是如此。例如， “OAuth授权与身份验证”之类的问题有时会发布到Stack Overflow（我对问题的回答是这个）。

由术语，认证和授权（在OAuth的上下文中）处理的信息可以描述如下。

「应用安全」OAuth和OpenID Connect的全面比较( 四 )