OAuth терминология беспокоит меня уже давно. Является ли авторизация OAuth такой, как некоторые предлагают, или это аутентификация?
Поправьте меня, если я ошибаюсь, но я всегда считал Авторизацию актом предоставления кому-либо доступа к ресурсу, хотя OAuth, похоже, не имеет какой-либо реализации, которая фактически предоставляет доступ пользователям к данному ресурсу. Все о реализации OAuth говорят о предоставлении пользователю токена (подписанного и иногда зашифрованного). Этот маркер затем передается при каждом вызове в конечную точку серверной службы, где он проверяется на достоверность, опять же, не является проблемой OAuth.
Является ли OAuth-аутентификация (каждая статья утверждает, что это не так), которая, как я понимаю, требует от пользователя предоставления учетных данных, что в свою очередь доказывает, что пользователь должен/не должен иметь доступ?
Таким образом, кажется, что OAuth не является авторизацией NOR Authentication, поскольку они должны выполняться другими процессами. Так какого черта это? Это процесс передачи токена? Это пуховое слово, которое на самом деле не имеет особого значения?
Трудно задать вопрос на эту тему, не представив загадочных и суеверных (призраков и гоблинов), поэтому я ожидаю, что ответить на этот вопрос тоже будет непросто. Входите на свой страх и риск.