我试图了解REST API的身份验证和授权选项。我知道Oauth的目的是授权应用程序和用户,这些应用程序和用户不一定是访问API和数据的资源所有者。我感到困惑的是,如果您的平台需要公开API,该API的主要用户(或最初至少是)被产品的客户使用,因此资源所有者,但希望对谁可以访问或不能访问API进行一些控制?在他们的上下文中,这是非常典型的企业上下文,您拥有一个Web应用程序以及一些API,可以更高效地执行某些操作。在这些情况下,我应该只看身份验证协议,而不用烦恼Oauth或实现身份验证和Oauth的组合? tldr:如果Oauth不是身份验证协议而是授权协议,那么平台与Oauth一起使用什么进行身份验证?