OAuth术语一直困扰着我很长一段时间.OAuth授权是否有人建议或者是身份验证?
如果我错了,请纠正我,但我一直认为授权是允许某人访问资源的行为,但OAuth似乎没有任何实际允许访问给定资源的用户的实现.所有OAuth实现都在谈论为用户提供令牌(已签名且有时加密).然后,每次调用后都会将此令牌传递给后端服务端点,在该端点检查其有效性,同样不是OAuth关注点.
OAuth身份验证(每篇文章都说不是)我要求用户提供凭据,这反过来证明用户应该/不应该有权访问?
因此,似乎OAuth不是授权NOR身份验证,因为这些必须由其他进程执行.那到底是什么?这是一个传递令牌的过程吗?真的没有特别含义的绒毛词吗?
在没有听起来神秘和迷信(幽灵和地精)的情况下很难提出关于这个主题的问题,所以我希望回答这个问题也不是一件简单的事情.输入您自担风险.