如何理解何时使用oauth

Question

我试图了解在什么情况下我应该使用oauth。通过阅读spec，我了解到您基本上将身份证明委托给第三方。

因此，如果我们以示例stackoverflow的登录页面为您获取

Oauth2用于google和facebook，如何确定使用的stackoverflow（直接输入用户名和密码时）？那也是oauth 2吗？如果它正在使用oauth，我将如何理解他们使用哪种流程？

Answer 1

你的问题有点不清楚，但我认为你问的是，如果SO或其他网站使用oAuth进行所有身份验证方案。他们可以。如果他们在您进行身份验证时使用oAuth和用户密码身份验证，则您获得的响应应该包含授权令牌和刷新令牌，然后您将使用该令牌在每个连续请求上进行身份验证。希望这可以帮助。 oAuth不是一种技术，它是如何以更好的方式进行身份验证的协议。

Answer 2

单击使用gmail登录时查看请求URL是什么...

  

https://accounts.google.com/ServiceLogin?passive=1209600&continue=https://accounts.google.com/o/oauth2/auth?client_id%3D717762328687-p17pldm5fteklla3nplbss3ai9slta0a.apps.googleusercontent.com%26scope%3Dprofile%2Bemail%26redirect_uri%3Dhttps://stackauth.com/auth/oauth2/google%26state%3D%257B%2522sid%2522:1,%2522st%2522:%2522e35d652c26ae7fad9b61f6176cc93f2eb9bbb240c32231bc95f8270176d7a5d5%2522,%2522ses%2522:%252291fdf487240d4fa38576f780ad448f55%2522%257D%26response_type%3Dcode%26from_login%3D1%26as%3D-8520e47ae71bbb4&oauth=1&sarp=1&scc=1#identifier

auth2是否意味着oauth 2？我想是的

UPD：据我所知，OAuth机制由第3部分支持。因此可以使用自己的oauth进行直接输入或标准自动认证。这取决于SO。

Answer 3

保持简短：

如果你想为你的应用程序添加身份验证，并且想要给Facebook，Google和Stackoverflow这样的大公司留下一些安全性，那么如果你不确切地知道如何处理这样一个微妙的任务，那通常是一个好主意。或者您没有使用特定的Auth工具/框架。

另一方面，从用户的角度来看，应用程序将更加用户友好（只需一次点击授权，而不是痛苦的注册）。

如果您需要更详细的技术说明，我建议您阅读其他Stackoverflow帖子： OAuth 2.0: Benefits and use cases — why?