OAuth官方网站上明确提到,OAuth是一种授权协议,而不是,不应被视为身份验证协议。在这里,我对此感到困惑,如果OAuth 授权用户,如果它们首先不验证,那么该怎么办。
另一个问题是:我正在设计API以为用户提供Web服务。如果我使用OAuth2.0,我是否需要登录系统?如果是这样,如何构建此登录系统?
答案 0 :(得分:1)
授权(在OAuth的上下文中)将身份验证作为其中一个步骤,但OAuth规范(RFC 6749)有意避免讨论如何对用户进行身份验证。
因此,您可以根据需要选择任何身份验证方法。例如,
所以,你的理解是正确的。您需要一个登录系统(或任何可以识别用户的身份)进行身份验证。 OAuth规范为您提供身份验证。