有許多實用并且具有哲學性的方法來讨論這兩個術語的差別。但是這裡确實有一些困惑,我想要從如今普遍用于建構應用的基于 token 的協定的“通常猜測”的角度去看待它。特别是我想要解析清楚 OAuth2 和 OpenID Connect 各自的适用場景。
首先看一下“正式”定義:
我的經驗法則是,當應用請求 identity token 供它自己使用以提供個性化或者應用通路控制的特性時,那就是認證。或者從技術上來講,請求到的 token 的閱聽人是請求者本身,而且請求的應用能夠解析和驗證 token 以當中包含的資訊。
用于認證的典型協定有:Kerberos, WS-Federation, SAML2p, OpenID (Connect) 。得到的 token 常稱為 identity token 。
相反,當應用請求 token 供第三方而非自己使用的時候——比如,背景,屬于授權存儲區。這個 token 對于請求者是不透明的并且隻在閱聽人(也就是背景)的上下文中才有意義。背景可以解析并驗證 token ,可以根據裡面的内容實作通路控制的管理。
用于授權的典型協定有:Kerberos, WS-Trust, OAuth2 。得到的 token 常稱為 access token 。
“這裡所述的 Google 端點與 OpenID Connect 規範保持一緻,目前,它還處于草案階段。作為參考,OpenID Connect 規範與 OAuth 2.0 協定很相似。在規範完善的過程中,Google 端點将會不斷進行更新。”