Спецификация OAuth 2.0 определяет протокол делегирования, который полезен для передачи решений об авторизации через сеть веб-приложений и API.OAuth используется в самых разных приложениях, включая механизмы аутентификации пользователей.Это привело к тому, что многие разработчики и поставщики API ошибочно пришли к выводу, что OAuth сам по себе является протоколом аутентификации, и по ошибке использовали его как таковой.Скажем еще раз, чтобы было ясно:
OAuth 2.0 не является протоколом аутентификации.
Большая часть путаницы связана с тем, что OAuth используется внутри протоколов аутентификации, и разработчики увидяткомпоненты OAuth взаимодействуют с потоком OAuth и предполагают, что, просто используя OAuth, они могут выполнять аутентификацию пользователя.Оказывается, это не только неверно, но и опасно для поставщиков услуг, разработчиков и конечных пользователей.
Эта статья предназначена для того, чтобы помочь потенциальным поставщикам удостоверений в вопросе о том, как создать API аутентификации и идентификации с использованиемOAuth 2.0 в качестве базы.По сути, если вы говорите: «У меня OAuth 2.0, и мне нужна аутентификация и идентификация», тогда читайте дальше.