OAuth 2.0

OAuth 2.0（Open Authorization）是一个标准，用于在不暴露用户凭证的情况下，经用户同意访问资源。OAuth 2.0 是 authorization 协议，不是 authentication。它主要用于授权访问资源，例如远程 APIs 或用户数据。

OAuth 2.0 定义的实体：

oauth2

Client 向 Authorization Server 请求授权，提供 client id/secret，并指定 scopes 和回调 URI。
Authorization Server 验证 client 与 scopes。
Resource Owner 与 Authorization Server 交互并同意授权。
Authorization Server 回调 client，返回 Authorization Code 或 Access Token（也可能返回 Refresh Token）。
Client 使用 Access Token 访问 Resource Server。

OpenID Connect (OIDC)

OAuth 2.0 只做授权。OIDC 是叠加在 OAuth 2.0 之上的轻量层，提供登录与用户身份信息。

支持 OIDC 的 Authorization Server 通常称为 Identity Provider (IdP)。OIDC 相对较新，行业最佳实践还在演进。

OIDC 定义的实体：

OAuth 2.0 与 OIDC 都易实现，且基于 JSON，适配大多数 web/mobile 应用。但 OIDC 规范更严格。