部署OAuth2.0授权系统时需要身份验证吗？

Question

OAuth官方网站已经明确提到OAuth是授权协议，而不应该被认为是认证协议。这里我对此感到困惑，如果OAuth 授权用户没有身份验证他们在第一个地方。

另一个问题是：我正在设计API来为用户提供Web服务。如果我使用OAuth2.0，我需要登录系统吗？如果是这样，如何建立这个登录系统？

Answer 1

授权（在OAuth环境中）包含认证作为其一个步骤，但OAuth规范（RFC 6749）有意避免讨论如何认证用户。

因此，您可以根据需要选择任何身份验证方法。例如，

• ID &密码（最典型的）
• 指纹
• 虹膜识别
• 随机表
• 一次性密码

所以，你的理解是正确的。您需要一个登录系统（或任何可以识别用户的身份）进行身份验证。 OAuth规范将身份验证留给您。